La autoridad de control ha impuesto una sanción de 1.500 euros a una comunidad de propietarios por la infracción del artículo 5.1.f) del RGPD (principio de integridad y confidencialidad), así como una sanción de 500 euros por infringir el artículo 32 del mismo cuerpo normativo (seguridad del tratamiento), reducida a 1.600 euros por cuanto la compañía ha hecho uso de una de las reducciones previstas.
En este caso, se interpuso la reclamación debido a que el presidente envió, a través del grupo de Whatsapp de la comunidad en el que han sido incluidos los distintos propietarios de las viviendas, copia de un recibo bancario en el que constan los datos de identificación, el número de cuenta corriente o la dirección del reclamante, así como copia de una conversación privada (sin su permiso).
Una vez se dio traslado de dicha reclamación a la Comunidad de Propietarios, se facilitó respuesta en la que se hacía constar, entre otras cuestiones, que el grupo no se creó como consecuencia de un acuerdo comunitario (sino a iniciativa de un propietario), por lo que no se tenía control alguno sobre lo que se publicaba, no pudiendo responsabilizar a la comunidad de propietarios por los comentarios realizados en el mismo. Durante el procedimiento, se ha tenido constancia de que las capturas de pantalla de las conversaciones particulares con la reclamante fueron eliminadas al analizar el terminal por la AEPD (por lo que “no se puede acreditar fehacientemente que dichas capturas de pantalla fueran enviadas a dicho chat” ).
La AEPD archivó el procedimiento por considerar que faltaban indicios racionales de la existencia de una infracción. Contra dicha resolución, se interpuso recurso de reposición en el que se alegaba que, aunque el mensaje se hubiera borrado del teléfono del presidente, permanecía en los dispositivos del resto de propietarios, por lo que dicha medida no tenía ningún efecto. El recurso fue estimado y, en consecuencia, se inició un procedimiento sancionador, por lo que se presentó escrito por la parte reclamada en el que se hacía constar que el documento bancario fue enviado al presidente por la reclamante siendo ella quien autorizó dicha publicación, por cuanto le dijo “Enséñeselo a quien quiera, cuando vaya por la comunidad paseando, yo no tengo inconveniente. Así se entretiene y me deja un día tranquila”.
La autoridad de control ha declarado que no puede deducirse de dicha frase que la reclamante esté autorizando la difusión de la conversación a través de WhatsApp, “sino, como máximo, a su exhibición individual”. Del mismo modo, se declara que los propietarios, que no ostenten el cargo de presidente, únicamente podrán tener acceso a la documentación de la Comunidad cuando exista un motivo justificado. Así, se deduce que “la parte reclamada tiene acceso a la información de los recibos bancarios de los propietarios por su condición de presidente”, siendo la comunidad la entidad responsable del tratamiento de los datos para la adecuada gestión y el correcto funcionamiento de la misma, debiendo aplicar medidas técnicas que garanticen la confidencialidad de dichos datos. En este sentido, el presidente tiene la obligación de actuar con diligencia, como órgano de gobierno que tiene la representación legal de la comunidad (lo que no ha sucedido en este caso, por cuanto el propio presidente ha publicado esta información).
Así, debido a que la Comunidad ha tratado los datos de la reclamante sin adoptar las medidas de seguridad exigidas por la normativa en función de los riesgos (infracción del artículo 32 del RGPD), habiendo difundido por el grupo de WhatsApp una comunicación privada y un recibo bancario en el que constaban sus datos personales, se ha vulnerado la confidencialidad en el tratamiento de dichos datos, por lo que se ha infringido el artículo 5.1.f) del RGPD
Puede acceder a la resolución sancionadora aquí.