PRIMERO: A.A.A. (en adelante, la reclamante) con fecha 20 de mayo de 2019 interpuso reclamación ante la Agencia Española de Protección de Datos. La reclamación se dirige contra COMUNIDAD DE PROPIETARIOS R.R.R. con NIF ***NIF.1 (en adelante, la reclamada).
Los motivos en que basa la reclamación son la exposición pública del acta de la última asamblea de la Comunidad en los ascensores del edificio, en la que se identifica con nombre, apellidos, pisos y puerta a los asistentes y representados, y se detalla piso y puerta de los vecinos implicados en los temas tratados en la reunión, destacando los afectados por una denuncia que se va a iniciar por motivo de unas obras consideradas irregulares por la Comunidad.
Junto a la reclamación se aporta copia del acta de la Junta General Extraordinaria de la Comunidad de Propietarios celebrada el 25/04/2019, consistente en 12 hojas, el correo electrónico remitido por la administradora con fecha 05/05/2019 adjuntando el mismo acta, copia de la contestación que le hizo uno de los vecinos el 08/05/2019 preguntando el motivo de haber expuesto el acta completa en los ascensores, y copia de la respuesta dada por la administradora ese mismo día indicando que se hizo por solicitud del presidente.
Se adjunta además una fotografía de la primera hoja del acta, que permite apreciar el lugar donde ha sido expuesta (junto a un ascensor) y los datos personales que ya se pueden visualizar en la primera hoja.
SEGUNDO: A la vista de los hechos denunciados en la reclamación y de los documentos aportados por el reclamante, la Subdirección General de Inspección de Datos procedió a la realización de actuaciones previas de investigación para el esclarecimiento de los hechos en cuestión, en virtud de los poderes de investigación otorgados a las autoridades de control en el artículo 57.1 del Reglamento (UE) 2016/679 (Reglamento General de Protección de Datos, en adelante RGPD), y de conformidad con lo establecido en el Título VII, Capítulo I, Sección segunda, de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en lo sucesivo LOPDGDD).
Se pone en conocimiento del reclamado la presente reclamación el 30 de junio de 2019, requiriéndole para que en el plazo de un mes remita a esta Agencia, información sobre la respuesta dada a la reclamante por los hechos denunciados, así como las causas que han motivado la incidencia y las medidas adoptadas para su subsanación de conformidad con el artículo 5.1 f) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 (RGPD).
Como respuesta a tal requerimiento se manifiesta que el motivo para haber utilizado los ascensores es que, aunque se intentó notificar las actas a todos los vecinos por carta certificada, no siempre tienen constancia de la entrega fehaciente de las mismas, ya que las cartas que se envían a los vecinos son recogidas por los porteros.
El acta de esta Junta era especialmente importante, ya que en ella se acordaba el inicio de acciones judiciales contra una serie de vecinos de la Comunidad por obras ilegales.
Se publicó el acta en los ascensores para ser garantistas, no causar indefensión a los vecinos demandados y para tener la seguridad de que eran perfectamente conocedores de las decisiones adoptadas, de cara a posibles impugnaciones y para que no pudieran ampararse luego en una falta de notificación.
Afirma además que no sólo se utilizaron los ascensores, sino también el tablón interno de conserjería.
Sostienen que en todo momento están cumpliendo con la Ley de Propiedad Horizontal.
Posteriormente, a petición de uno de los doscientos quince vecinos, se empezó a eliminar de las actas los datos personales de nombres, dejando únicamente los de planta y puerta, y también se ha decidido dejar de usar los expositores de los ascensores para la colocación de información con carácter personal, cambiándolos a expositores cerrados con llave, para aumentar la seguridad.
La reclamada aporta copia del acta expuesta y una relación de 16 cartas certificadas con sus destinatarios, supuestamente conteniendo el acta enviada por la administradora, que han sido entregadas (tienen la correspondiente pegatina). El nombre de la reclamante no se encuentra entre ellas.
TERCERO: Con fecha 18 de diciembre de 2019, la Directora de la Agencia Española de Protección de Datos acordó iniciar procedimiento sancionador al reclamado, por la presunta infracción del Artículo 5.1.f) del RGPD, tipificada en el Artículo 83.5 del RGPD.
CUARTO: Notificado el mencionado acuerdo de inicio del presente procedimiento sancionador se le otorga un plazo de audiencia de DIEZ DÍAS HÁBILES para que formule las alegaciones y presente las pruebas que considere convenientes, de acuerdo con lo preceptuado en los artículos 73 y 76 de la Ley 39/2015 de Procedimiento Administrativo Común de las Administraciones Públicas.
QUINTO: No habiendo formulado alegaciones ni presentado pruebas en el plazo dado, se procede a dictar la presente resolución teniendo en cuenta los siguientes:
HECHOS
PRIMERO: Exposición pública del acta de la última asamblea de la Comunidad en los ascensores del edificio, en la que se identifica con nombre, apellidos, pisos y puerta a los asistentes y representados, y se detalla piso y puerta de los vecinos implicados en los temas tratados en la reunión, destacando los afectados por una denuncia que se va a iniciar por motivo de unas obras consideradas irregulares por la Comunidad.
La reclamada aporta copia del acta expuesta y una relación de 16 cartas certificadas con sus destinatarios, supuestamente conteniendo el acta enviada por la administradora, que han sido entregadas (tienen la correspondiente pegatina). El nombre de la reclamante no se encuentra entre ellas.
SEGUNDO: Se pone en conocimiento del reclamado la presente reclamación a lo que responde que el motivo para haber utilizado los ascensores es que, aunque se intentó notificar las actas a todos los vecinos por carta certificada, no siempre tienen constancia de la entrega fehaciente de las mismas, ya que las cartas que se envían a los vecinos son recogidas por los porteros.
El acta de esta Junta era especialmente importante, ya que en ella se acordaba el inicio de acciones judiciales contra una serie de vecinos de la Comunidad por obras ilegales.
Se publicó el acta en los ascensores para ser garantistas, no causar indefensión a los vecinos demandados y para tener la seguridad de que eran perfectamente conocedores de las decisiones adoptadas, de cara a posibles impugnaciones y para que no pudieran ampararse luego en una falta de notificación.
TERCERO: Esta Agencia no ha recibido alegación alguna en el plazo dado para ello, tras notificarse el acuerdo de inicio del presente procedimiento sancionador.
I
En virtud de los poderes que el artículo 58.2 del RGPD reconoce a cada autoridad de control, y según lo establecido en los arts. 47 y 48.1 de la LOPDPGDD, la Directora de la Agencia Española de Protección de Datos es competente para resolver este procedimiento.
II
El artículo 6.1 del RGPD, establece los supuestos que permiten considerar lícito el tratamiento de datos personales.
Por su parte, el artículo 5 del RGPD establece que los datos personales serán:
"a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);
b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»);
c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);
d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»);
e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación»);
f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).
El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»)."
III
Se considera probada la exposición pública del acta de la última asamblea de la Comunidad en los ascensores del edificio, en la que se identifica con nombre, apellidos, pisos y puerta a los asistentes y representados, y se detalla piso y puerta de los vecinos implicados en los temas tratados en la reunión, destacando los afectados por una denuncia que se va a iniciar por motivo de unas obras consideradas irregulares por la Comunidad.
Asimismo, señalar que la iniciación de acciones legales contra algunos vecinos por parte de la Comunidad no justifica la publicación del acta con los datos personales de todos los vecinos asistentes a la reunión, indicando nombre, apellidos, planta y puerta, ya que si lo que se quiere es comunicar de forma fehaciente el acuerdo adoptado en la Junta, la Comunidad debería utilizar un medio como burofax o carta certificada, que garantice la protección de datos personales de los afectados, por ello se entiende que la reclamada ha vulnerado el artículo 5.1 f) del RGPD, que rige los principios de integridad y confidencialidad de los datos personales, así como la responsabilidad proactiva del responsable del tratamiento de demostrar su cumplimiento.
IV
El artículo 72.1.a) de la LOPDGDD señala que "en función de lo que establece el artículo 83.5 del Reglamento (UE) 2016/679 se consideran muy graves y prescribirán a los tres años las infracciones que supongan una vulneración sustancial de los artículos mencionados en aquel y, en particular, las siguientes:
a) El tratamiento de datos personales vulnerando los principios y garantías establecidos en el artículo 5 del Reglamento (UE) 2016/679
V
El artículo 58.2 del RGPD dispone lo siguiente: "Cada autoridad de control dispondrá de todos los siguientes poderes correctivos indicados a continuación:
b) sancionar a todo responsable o encargado del tratamiento con apercibimiento cuando las operaciones de tratamiento hayan infringido lo dispuesto en el presente Reglamento;
d) ordenar al responsable o encargado del tratamiento que las operaciones de tratamiento se ajusten a las disposiciones del presente Reglamento, cuando proceda, de una determinada manera y dentro de un plazo especificado;
i) imponer una multa administrativa con arreglo al artículo 83, además o en lugar de las medidas mencionadas en el presente apartado, según las circunstancias de cada caso particular;
VI
Esta infracción puede ser sancionada con multa de 20 000 000 Eur. como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, de acuerdo con el artículo 83.5 del RGPD.
Asimismo, se considera que procede graduar la sanción a imponer de acuerdo con los siguientes criterios que establece el artículo 83.2 del RGPD:
Como agravantes los siguientes:
*En el presente caso estamos ante acción negligente no intencional, pero signifi- cativa (artículo 83.2 b)
*Se encuentran afectados identificadores personales básicos, según el artículo 83.2g)
Por lo tanto, de acuerdo con la legislación aplicable y valorados los criterios de graduación de las sanciones cuya existencia ha quedado acreditada, la Directora de la Agencia Española de Protección de Datos
PRIMERO: IMPONER a COMUNIDAD DE PROPIETARIOS R.R.R., con NIF ***NIF.1, por una infracción del artículo 5.1.f) del RGPD, tipificada en el artículo 83.5 del RGPD, una multa de 15.000 Eur. (quince mil euros).
SEGUNDO: NOTIFICAR la presente resolución a COMUNIDAD DE PROPIETARIOS R.R.R..
TERCERO: Advertir al sancionado que deberá hacer efectiva la sanción impuesta una vez que la presente resolución sea ejecutiva, de conformidad con lo dispuesto en el art. 98.1.b) de la ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (en adelante LPACAP), en el plazo de pago voluntario establecido en el art. 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso, indicando el NIF del sancionado y el número de procedimiento que figura en el encabezamiento de este documento, en la cuenta restringida nº ES00 0000 0000 0000 0000 0000, abierta a nombre de la Agencia Española de Protección de Datos en el Banco CAIXABANK, S.A. En caso contrario, se procederá a su recaudación en período ejecutivo.
Recibida la notificación y una vez ejecutiva, si la fecha de ejecutividad se encuentra entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si se encuentra entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior.
De conformidad con lo establecido en el artículo 50 de la LOPDGDD, la presente Resolución se hará pública una vez haya sido notificada a los interesados.
Contra esta resolución, que pone fin a la vía administrativa conforme al art. 48.6 de la LOPDGDD, y de acuerdo con lo establecido en el artículo 123 de la LPACAP, los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.
Finalmente, se señala que conforme a lo previsto en el art. 90.3 a) de la LPACAP, se podrá suspender cautelarmente la resolución firme en vía administrativa si el interesado manifiesta su intención de interponer recurso contencioso- administrativo. De ser éste el caso, el interesado deberá comunicar formalmente este hecho mediante escrito dirigido a la Agencia Española de Protección de Datos, presentándolo a través del Registro Electrónico de la Agencia [https://sedeagpd.gob.es/sede-electronica-web/], o a través de alguno de los restantes registros previstos en el art. 16.4 de la citada Ley 39/2015, de 1 de octubre. También deberá trasladar a la Agencia la documentación que acredite la interposición efectiva del recurso contencioso-administrativo. Si la Agencia no tuviese conocimiento de la interposición del recurso contencioso-administrativo en el plazo de dos meses desde el día siguiente a la notificación de la presente resolución, daría por finalizada la suspensión cautelar.
Mar España Martí
Directora de la Agencia Española de Protección de Datos
