La Agencia Española de Protección de Datos (AEPD) ha sancionado recientemente a una comunidad de propietarios por no cumplir con uno de los principios que rigen el tratamiento de datos personales. Concretamente, por incumplir el principio de minimización de datos personales que se regula en el artículo 5.1 c) del Reglamento General de Protección de Datos.

¿Qué sucedió exactamente?

Según se narra en el Procedimiento Sancionador (en adelante P.S.), la administradora de la comunidad envió, afirmando que era de interés para todos los propietarios, dos documentos: una sentencia judicial y un escrito firmado por algunos vecinos. Ambos documentos contenían datos personales como nombres, apellidos, NIF y firmas manuscritas.

¿Cuál es el error que ha cometido la comunidad de propietarios?

  • El primer error que ha cometido, la administradora de la comunidad de propietarios sancionada, ha sido NO identificar qué son datos personales. El artículo 4 1) del RGPD establece que son datos personales «toda información sobre una persona identificada o identificable (<<el interesado>>); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador como por ejemplo un nombre, un número de identificación (…)». Atendiendo al precepto citado tenemos que:
    • Los nombres y apellidos que aparecen en los documentos permiten la identificación directa de una persona física.
    • Los NIF y firmas que aparecen en los documentos permiten la identificación indirecta de una persona física.

Por tanto, los datos citados son considerados datos personales, por lo que, su tratamiento debe atender a la normativa de protección de datos al pertenecer a personas físicas.

  • El segundo error que ha cometido, la administradora de la comunidad de propietarios sancionada, ha sido NO tener en cuenta los principios relativos a la protección de datos que se regulan en el artículo 5 del RGPD. Entre estos principios encontramos el «principio de minimización de datos» el cual indica que el tratamiento deberá ser adecuado, pertinente y limitado.

Esto significa que, a la hora de realizar cualquier tipo de tratamiento de datos de carácter personal, debemos tratar la menor cantidad posible.

  • El tercer error que ha cometido, la administradora de la comunidad de propietarios sancionada, ha sido interpretar, de manera errónea, la legitimación en la que se sustenta el tratamiento de datos personales, en este caso, la recogida en el artículo 6.1 c) del RGPD, ya que la administradora manifiesta que «La base de dichos tratamientos sería el cumplimiento de relaciones jurídicas y obligaciones legales y su finalidad, “asegurar el cumplimiento por los propietarios de las obligaciones impuestas por la LPH,” (hecho SEGUNDO del P.S.).

La necesidad de cumplir la Ley de Propiedad Horizontal (LPH) constituye, en efecto, una base jurídica legítima para el tratamiento de datos personales de los residentes de una comunidad. No obstante, es importante subrayar que la esencia de los documentos relacionados radica en su contenido sustantivo, no en la identificación de los individuos mencionados. En consecuencia, el cumplimiento de esta obligación legal podría haberse logrado sin la inclusión de datos personales identificativos.

¿Podría haberse evitado la sanción a la comunidad de propietarios?

Efectivamente, la sanción impuesta por la Agencia Española de Protección de Datos (AEPD) era totalmente evitable. La mera aplicación de técnicas de anonimización a los datos personales habría sido suficiente para prevenir dicha sanción, salvaguardando así tanto la privacidad de los individuos como el cumplimiento normativo de la comunidad de propietarios.

¿Qué debemos tener en cuenta ante este tipo de situaciones?

En situaciones similares, es importante tener en cuenta las tres cuestiones que hemos tratado anteriormente, es decir, tenemos que:

  1. Revisar si la documentación que vamos a difundir contiene datos personales.
  2. Revisar si, difundiendo la documentación, se contradice a algunos de los principios recogidos en el artículo 5 del RGPD.
  3. Verificar si la legitimación en la que vamos a sustentar nuestras actuaciones es la correcta.

No es la primera vez que la AEPD impone una sanción de este tipo. Por ello, es importante prestar mucha atención a las resoluciones, guías e indicaciones que va dando la AEPD en todo momento. En OZONIA Consultores, somos conscientes de que, para poder ofrecer el mejor servicio de asesoramiento, es fundamental estar actualizados en esta materia tan cambiante. Si tienes alguna consulta, ponemos a tu disposición nuestros más de 20 años de experiencia.

¡No dudes en ponerte en manos de quienes ponen como prioridad la seguridad de tu actividad!

Autor: Antonio Heredia.