La AEPD impone una multa de 1.000 euros (reducida a 600 euros) por incumplir el RGPD al divulgar datos personales sin medidas de seguridad adecuadas.
La web carecía de certificado SSL y utilizaba un único usuario y contraseña compartido por todos los vecinos.
Se expusieron datos sensibles como nombres, impagos, cuentas bancarias y documentos internos de la comunidad.
La Agencia considera que se vulneró el artículo 32 del RGPD al no garantizar una protección técnica y organizativa adecuada.
La comunidad publicó datos personales y financieros sin garantías de seguridad
La Agencia Española de Protección de Datos (AEPD) ha sancionado con 1.000 euros —reducidos a 600 tras el reconocimiento de responsabilidad— a una comunidad de propietarios por permitir el acceso, sin garantías técnicas mínimas, a información personal y económica de los vecinos a través de un portal web.
La denuncia fue presentada en diciembre de 2023 por un vecino, quien además interpuso otra ante la Dirección General de la Policía. Según el reclamante, las actas entregadas en los buzones contenían el usuario y contraseña de la web comunitaria, a la que todos los comuneros accedían con las mismas credenciales. En el portal podían consultarse datos como nombres, apellidos, deudas, direcciones, cuentas bancarias y otros documentos sensibles relacionados con la gestión de la comunidad.
Deficiencias en la seguridad de la web y mala gestión de accesos
La investigación de la AEPD confirmó que la página web de la comunidad funcionaba sin protocolo HTTPS, utilizando solo HTTP, lo que implica que la transmisión de datos no se realizaba de forma cifrada. Este aspecto, junto con la inexistencia de certificados SSL/TLS, dejaba expuesta la información a posibles accesos no autorizados.
Asimismo, el hecho de que todos los vecinos compartieran un único usuario y contraseña, sin un control individualizado, fue calificado por la Agencia como una «incorrecta política de contraseñas y credenciales», señalando que ello constituye una vulneración del artículo 32 del RGPD, el cual obliga a aplicar medidas técnicas y organizativas apropiadas para garantizar la seguridad de los datos personales.
Alegaciones de la comunidad y valoración de la AEPD
El administrador de fincas negó que en el portal aparecieran datos personales indebidos, salvo los necesarios para la correcta gestión comunitaria conforme a la Ley de Propiedad Horizontal (LPH). Afirmó que la cuenta bancaria publicada era la de la propia comunidad y que los propietarios eran informados legalmente a través de sus buzones. También justificó la publicación de la lista de propietarios deudores en función de lo establecido en el artículo 15.2 de la LPH, que regula el derecho a voto en juntas de propietarios.
Sin embargo, la AEPD consideró que las medidas de seguridad implementadas eran insuficientes y que se había producido una exposición indebida de datos personales, lo que motivó la sanción económica y la exigencia de adoptar protocolos adecuados.
Recomendaciones y consecuencias
Además de la multa, la Agencia instó a la comunidad a acreditar que ha adoptado las medidas necesarias para el cumplimiento del RGPD, entre ellas la implementación del protocolo HTTPS y una gestión adecuada de accesos mediante usuarios y contraseñas individuales.
Este caso pone de relieve la importancia de proteger correctamente los datos personales en entornos digitales, incluso en contextos como el de las comunidades de propietarios, donde el acceso compartido y la escasa conciencia en materia de ciberseguridad pueden dar lugar a sanciones por parte de las autoridades competentes.
