Comunidades de Vecinos y Grupos de WhatsApp: Protección de Datos.
La Agencia Española de Protección de Datos (AEPD) ha multado con 2.000 € a una comunidad de propietarios por violar la normativa de protección de datos, concretamente los artículos 5.1.f y 32 del RGPD. La sanción se debe a la divulgación no autorizada de datos personales en un grupo de WhatsApp.
Artículo 5 RGPD. Principios relativos al tratamiento,
1. Los datos personales serán (…) f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).
Artículo 32 RGPD. Seguridad del tratamiento,
1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
a) la seudonimización y el cifrado de datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo.
4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.
Acción infringida.
El presidente de una comunidad de propietarios compartió sin permiso en un grupo de WhatsApp una conversación privada y una copia de un recibo bancario de una vecina. Este recibo contenía datos sensibles como el nombre, apellidos, número de cuenta y dirección postal.
Contexto: La vecina afectada había enviado un mensaje al presidente diciendo: “Enséñeselo a quien quiera, cuando vaya por la comunidad paseando, yo no tengo inconveniente. Así se entretiene y me deja un día tranquila”. Sin embargo, la AEPD considera que este comentario no autorizaba la difusión pública de sus datos personales.
Conclusiones y resolución de la AEPD.
Sanciones: 1.500€ por violar el principio de confidencialidad (art. 5.1.f del RGPD) y 500€ por no aplicar medidas de seguridad adecuadas (art. 32 del RGPD).
La Comunidad de Propietarios argumentó que el grupo de WhatsApp no fue creado oficialmente por la comunidad y que no controlaba su contenido. Además, afirmó que el presidente actuaba a título personal.
- Conclusión de la AEPD: La comunidad es responsable de la gestión adecuada de los datos personales y de implementar medidas de seguridad, independientemente de cómo se haya creado el grupo de WhatsApp.
- Obligaciones: La comunidad debe notificar a la AEPD en un mes sobre las medidas adoptadas para prevenir futuros incidentes similares.
- Reducción de la sanción: La comunidad opta por el pago voluntario, reduciendo la sanción a 1.600€.
- Pruebas: Las capturas de pantalla fueron aceptadas como prueba, debidamente acompañadas del archivo electrónico original.
- Acceso a Datos: Los propietarios no pueden acceder libremente a los datos de la comunidad sin justificación.