Sanción AEPD a comunidad de propietarios por exponer datos personales

Mantener la confidencialidad y el respeto a la privacidad en una comunidad de vecinos no es solo una obligación legal, sino también un reflejo de una convivencia responsable. Este caso real, sancionado por la Agencia Española de Protección de Datos (AEPD), ejemplifica los errores más comunes que pueden derivar en multas y conflictos vecinales.

En Maser Legal, como expertos en protección de datos, ayudamos a evitar este tipo de situaciones.

Qué ocurrió en la comunidad de vecinos sancionada por la AEPD

En agosto de 2023, una comunidad de propietarios expuso el acta de una junta general en una vitrina situada en el vestíbulo del edificio. Dicha acta incluía datos personales de un vecino moroso, como el apellido, la inicial del nombre y la cantidad que debía a la comunidad. Aunque la vitrina estaba cerrada con llave, el documento era perfectamente visible para cualquier persona que accediera al inmueble.

El acta permaneció expuesta durante más de ocho meses, lo que excede ampliamente el plazo de tres días previsto por la Ley de Propiedad Horizontal para notificaciones en tablón, y sin acreditar intentos previos de notificación individual al propietario afectado.

En abril de 2024, el vecino presentó una reclamación ante la Agencia Española de Protección de Datos, acompañada de fotografías de la vitrina y copia del acta. La comunidad, pese a ser requerida, no respondió, lo que facilitó que la AEPD iniciara un expediente sancionador. La Agencia consideró que se había producido una clara vulneración del principio de confidencialidad recogido en el artículo 5.1.f) del RGPD.

Normativa que regula la protección de datos en comunidades

El tratamiento de datos personales en comunidades de propietarios está regulado por el RGPD, la LOPDGDD y la Ley de Propiedad Horizontal (LPH). El artículo 5.1.f) del RGPD establece que los datos deben tratarse con integridad y confidencialidad, evitando accesos no autorizados y aplicando medidas de seguridad adecuadas.

La LPH obliga a levantar actas de las juntas, pero su publicación en espacios comunes solo se permite si no ha sido posible la notificación personal, y bajo condiciones estrictas: máximo de tres días naturales, con justificación, y firmado por secretario y presidente.

En el caso sancionado por la AEPD, no se intentó notificar previamente al propietario ni se respetó el plazo. El acta permaneció expuesta ocho meses, lo que constituye una vulneración clara del RGPD y la LPH. Las comunidades, aunque no tengan ánimo de lucro, deben tratar los datos con la misma diligencia que cualquier entidad responsable.

Una práctica aparentemente inofensiva, como dejar un acta demasiado tiempo en el tablón, puede acabar en sanciones económicas, reclamaciones judiciales o conflictos vecinales. Por eso es clave contar con protocolos claros y asesoramiento especializado.

Multa impuesta y consecuencias legales para la comunidad

La AEPD resolvió imponer una multa de 1.000 euros a la comunidad por infracción del principio de confidencialidad. Además, exigió la retirada inmediata del acta y la acreditación de que no se volverían a exponer documentos similares en espacios comunes.

La comunidad intentó recurrir la resolución, pero lo hizo fuera del plazo legal establecido para interponer recurso de reposición. Como resultado, la AEPD inadmitió el recurso por extemporáneo, quedando firme la sanción.

Casos similares de sanciones por vulnerar el RGPD

Este no es un caso aislado. A lo largo de los últimos años, la AEPD ha impuesto sanciones a múltiples comunidades de vecinos por prácticas similares:

• Publicación de actas sin anonimizar en zonas comunes como ascensores o pasillos.
• Inclusión de datos sensibles como DNI, firmas manuscritas o cuentas bancarias en documentos accesibles a terceros.
• Difusión de documentos comunitarios a través de grupos de mensajería sin control ni consentimiento.

Estas sanciones oscilan entre los 1.000 y los 15.000 euros, dependiendo del número de personas afectadas, la gravedad del hecho y la persistencia de la exposición.

Cómo evitar sanciones por protección de datos en comunidades

Para evitar situaciones como las descritas y garantizar el cumplimiento normativo, en Maser Legal proponemos una estrategia integral basada en prevención, formación y gestión documental adecuada. Estas son las prácticas clave que toda comunidad debería aplicar:

1. Realizar notificaciones personalizadas siempre que sea posible: El primer paso es siempre intentar la notificación directa al propietario afectado. Esto puede hacerse mediante burofax, correo certificado con acuse de recibo o incluso entrega en mano con firma de recepción. Solo cuando estas vías resulten infructuosas podrá valorarse el uso del tablón de anuncios, y aun así, limitado a un máximo de tres días naturales y documentando el intento previo.
2. Evitar la publicación de datos personales en zonas comunes: Es fundamental entender que exponer nombres, apellidos, direcciones, firmas o cantidades adeudadas en lugares accesibles como portales, ascensores o pasillos puede constituir una vulneración del RGPD. Si por razones de gestión fuera imprescindible informar de ciertos datos, estos deben anonimizarse adecuadamente. Por ejemplo, en lugar de poner «El Sr. García debe 500 €», se podría utilizar «Titular del piso 2ºB».
3. Utilizar plataformas digitales seguras: Muchas comunidades ya utilizan aplicaciones para la gestión de actas, cuentas y comunicaciones. Estas plataformas deben cumplir con estándares de seguridad, contar con acceso restringido mediante usuario y contraseña, y garantizar el registro de accesos y la confidencialidad de los documentos. Además, deben estar adecuadamente contratadas como encargados del tratamiento si gestionan datos por cuenta de la comunidad.
4. Incluir cláusulas de protección de datos en los contratos con los administradores de fincas: El administrador de fincas maneja información sensible en nombre de la comunidad. Por ello, es esencial que en su contrato se detallen sus obligaciones como encargado del tratamiento, incluyendo las medidas de seguridad, las instrucciones documentadas de la comunidad, y la obligación de confidencialidad. La comunidad debe supervisar que cumple dichas obligaciones.
5. Formar a la junta de gobierno en aspectos clave del RGPD y la LOPDGDD: Muchos errores derivan del desconocimiento. Por ello, recomendamos ofrecer formación básica y actualizada a los miembros de la junta sobre los principios del RGPD, los derechos de los propietarios y las consecuencias legales de una infracción. Esta formación puede ser presencial, online o mediante guías prácticas, pero debe mantenerse viva y periódica.
6. Implantar un registro de actividades del tratamiento específico para la comunidad: Aunque no siempre es obligatorio, disponer de un registro detallado de los tratamientos de datos que realiza la comunidad es una buena práctica recomendada por la AEPD. En él se deben incluir: los fines del tratamiento (cobro de cuotas, convocatorias, gestión de morosos), categorías de datos, bases legales, destinatarios y plazos de conservación. Este documento permite auditar y justificar cada acción ante una inspección.
7. Documentar todas las acciones realizadas para justificar decisiones ante posibles inspecciones: Por ejemplo, si se utiliza el tablón de anuncios para notificar a un vecino, se debe guardar constancia de los intentos previos de notificación, de la fecha exacta en la que se colgó la comunicación, y de quién lo autorizó. Este tipo de trazabilidad es clave para demostrar diligencia y cumplimiento, y puede ser la diferencia entre evitar o recibir una sanción.
8. Revisar periódicamente los procedimientos internos: Las comunidades, como cualquier entidad que trata datos personales, deben realizar revisiones regulares de sus prácticas. Esto incluye actualizar los documentos legales, revisar los accesos a la documentación y comprobar que se siguen los protocolos establecidos. Contar con un servicio de auditoría externa o asesoramiento continuo facilita enormemente esta tarea.

Servicios legales para comunidades de propietarios ante la AEPD

Desde Maser Legal proporcionamos a las comunidades de propietarios y a los administradores un servicio legal integral:

• Evaluación de cumplimiento del RGPD y LOPDGDD en la comunidad.
• Redacción de protocolos de gestión documental y de publicación de actas.
• Asesoramiento preventivo ante posibles conflictos por filtración de datos.
• Representación legal en procedimientos sancionadores ante la AEPD.
• Implantación de medidas técnicas y organizativas adaptadas a la realidad de cada comunidad.

Nuestros servicios están diseñados para prevenir incidencias, mejorar la convivencia y proteger jurídicamente a la comunidad.

Cumplir el RGPD en comunidades: clave para evitar conflictos vecinales

Respetar la privacidad no es solo una obligación legal, sino una garantía de buena convivencia entre vecinos. En muchas ocasiones, la falta de formación o asesoramiento lleva a las comunidades a adoptar medidas que vulneran los derechos de los propietarios y pueden desencadenar sanciones económicas y conflictos personales.

Cumplir con el RGPD en el entorno comunitario fortalece la confianza, evita litigios innecesarios y transmite una imagen responsable. Desde Maser Legal te acompañamos para convertir el cumplimiento normativo en una herramienta útil de gestión.