Publicar en abierto los datos de los vecinos y sus deudas (ya sea en una web, redes sociales o tablones visibles) no es “transparencia”; es tratamiento ilícito de datos. Como despacho, constatamos que esta práctica, por bienintencionada que parezca, expone a la comunidad y a su administrador a reclamaciones y multas. Conviene precisar qué puede comunicarse, a quién y por qué canal.
Según los hechos difundidos, la comunidad permitió que cualquier persona pudiera acceder a nombres y apellidos, importe de deudas e identificación de viviendas a través de un portal sin cifrado (HTTP) y con usuario/contraseña comunes para todos los residentes. No hablamos de una convocatoria remitida a cada propietario ni de un área privada con control de acceso individual; hablamos de un canal inseguro que vulnera el art. 32 RGPD.
La AEPD apreció tratamientos ilícitos por falta de base jurídica, exceso de información y ausencia de medidas de seguridad. Aunque el caso se resolvió con una multa de 1.000 €, ese importe puede multiplicarse si hay mayor número de afectados, persistencia en la exposición o reincidencia.
Este patrón se repite: en otros expedientes la AEPD ha sancionado a comunidades por exhibir actas con deudas en portales o por difundir datos de múltiples vecinos (apellidos, direcciones, importes, incluso DNI y firmas). La constante es la misma: falta de minimización y difusión a terceros ajenos a la comunidad.
Una comunidad de propietarios fue sancionada con 1.000 € por difundir en una página web accesible datos personales y las deudas de varios vecinos. Más allá de la cuantía (reducible por pronto pago), el recordatorio es claro: exponer información identificable en canales abiertos (web, redes sociales, tablones visibles desde el exterior, boletines sin control de acceso) vulnera el RGPD y puede desencadenar reclamaciones, conflictos vecinales y responsabilidades para la comunidad y para su administrador.
La noticia fue publicada el 26 de septiembre de 2025 y recoge que la AEPD actuó tras la queja de un propietario. Lo relevante no es la anécdota, sino el estándar: sin cifrado y sin credenciales individuales, no hay seguridad adecuada.
Para valorar si una comunidad puede “publicar” algo, hay que coordinar tres piezas:
RGPD y LOPDGDD. Exigen base jurídica (art. 6 RGPD), minimización de datos (art. 5.1.c RGPD) y medidas de seguridad (art. 32 RGPD). En España, la LOPDGDD desarrolla el régimen sancionador y aspectos procedimentales.
Ley de Propiedad Horizontal (LPH). Permite comunicar información a propietarios e incluso usar el tablón de anuncios solo cuando las notificaciones personales sean imposibles, con requisitos estrictos y por tiempo limitado. No habilita, en ningún caso, publicaciones abiertas a Internet.
Criterios AEPD. La AEPD recuerda que exponer listados de morosos en tablones o espacios visibles no está amparado salvo el supuesto excepcional del art. 9 LPH (y siempre minimizando y acreditando intentos previos). Mucho menos está amparada la difusión en webs abiertas.
Referencias de autoridad: LPH en BOE – art. 9, FAQ Comunidades – AEPD.
La notificación es un envío dirigido a un destinatario concreto, con control de acceso, trazabilidad y prueba de entrega (carta certificada, burofax, intranet privada con credenciales, etc.).
La publicación en una web, tablón del portal visible desde la calle o grupos de mensajería sin control no es notificación: es difusión a un público indeterminado.
Notificar a un moroso. Necesita base jurídica (cumplimiento de obligación legal/LPH), mínimos datos (importe y referencia de la vivienda) y acceso restringido a los propietarios.
Publicar listados en abierto. Carece de base jurídica, excede los datos necesarios y expone la información a terceros (mensajeros, visitantes, vecinos de otros edificios, buscadores web).
Comparativa operativa:
Los tropiezos más habituales se repiten con distintas formas.
Convertir una web indexada por buscadores en supuesto “tablón” interno es un error de base; abre el acceso a actas, relaciones de morosos y datos de contacto a terceros.
También lo es transformar el portal en un escaparate: vitrinas o tablones visibles desde el exterior facilitan que personas no legitimadas accedan a datos personales.
Otro fallo recurrente es el exceso de información: circular DNI, firmas, cuentas bancarias o correos cuando bastaría con referencia de finca e importes vulnera la minimización.
Se suman los envíos en grupos o correos masivos sin control de destinatarios, que impiden acreditar un acceso restringido; y la ausencia de contrato de encargo con el administrador, imprescindible para documentar instrucciones y medidas de seguridad.
Antes de cualquier otra vía, la comunidad debe notificar individualmente al propietario (carta certificada, burofax o entrega en mano con acuse). Si ello resulta imposible (domicilio desconocido o ausencia continuada), cabe usar el tablón interno de forma excepcional, dejando constancia de la imposibilidad, la fecha, la firma del secretario y el visto bueno del presidente. Cuando la ley habilite la comunicación —por ejemplo, en la convocatoria de junta—, limita el contenido a lo estrictamente necesario: referencia de la finca, importe y concepto; evita DNI, teléfonos, correos, firmas o datos bancarios.
En cuanto a canales, lo razonable es emplear correo certificado o burofax cuando sea preciso y, para la documentación ordinaria, una intranet o gestor documental con credenciales individuales, cifrado (HTTPS), trazabilidad y caducidad de enlaces, nunca una web pública, redes sociales, tablones visibles desde la calle o grupos abiertos. No olvides formalizar el contrato de encargado (RGPD/LOPDGDD) con el administrador, con instrucciones, confidencialidad y medidas técnicas y organizativas.
Las sanciones pueden comenzar en 1.000 € y escalar a decenas de miles si aumentan los afectados o la exposición es prolongada. A ello se añade daño reputacional (conflictos y pérdida de confianza), responsabilidad interna frente a los afectados y, en su caso, al administrador por incumplimiento de instrucciones, además de costes de remediación: retirada urgente de contenidos, análisis forense de accesos, notificaciones y revisión de procedimientos.
No, salvo el caso excepcional del art. 9 LPH (cuando no pueda notificarse al interesado), con diligencia, tiempo limitado y mínimos datos. En ningún caso en Internet o lugares accesibles a terceros.
Solo si es un grupo controlado con todos los propietarios, administrado por la comunidad y con reglas; aun así, recomendamos plataformas privadas con acceso individual y registros de lectura. Evita reenvíos y capturas.
La transparencia no legitima excesos ni difusiones. El administrador debe ajustarse a las instrucciones de la comunidad y a la minimización. Exponer DNI o firmas es sancionable.
Solo lo necesario: referencia de la finca, importe y concepto (para privación de voto si procede). Evita datos sensibles o innecesarios.
Actuamos de forma inmediata: retiramos los contenidos (web, tablones visibles, redes o grupos), bloqueamos accesos y revocamos enlaces, elaboramos un informe de impacto (qué datos, de quiénes, durante cuánto tiempo y quién pudo verlos) y valoramos la notificación a los afectados cuando proceda. En paralelo, revisamos plantillas y circuitos de notificación, formamos al presidente y al administrador, y dejamos evidencia documental del plan aplicado.
Hoja de ruta para prevenir sanciones:
El mensaje es nítido: publicar deudas y datos personales en canales abiertos es ilegal y acaba en sanción. La notificación individual, el tablón solo como último recurso y una intranet privada con minimización de datos marcan la diferencia entre la buena gestión y un problema legal.
Si eres presidente o administrador, te ayudamos a implantar un modelo de cumplimiento sólido, formar a los intervinientes y blindar tus procesos.
Las llamadas spam siguen interrumpiendo reuniones, comidas y, a veces, el descanso. Pese a los…
Partamos de una idea sencilla: agilidad no puede equivaler a pérdida de control sobre los…
La factura electrónica obligatoria ya no es una tendencia: es una realidad que afectará a…
La conversación regulatoria sobre inteligencia artificial ha dejado de ser teórica. La Agencia Española de…
Una resolución que marca tendencia. La Agencia Española de Protección de Datos (AEPD) ha ratificado…
AEPD lo deja claro: DNI sin copias en hoteles Cada verano se repite la misma…