Actualmente es muy común que las entidades cuenten con una página web, independientemente del sector al que se dediquen, pues se trata de una forma muy útil para darse a conocer o publicitarse, al final cuando un interesado necesita un servicio lo primero que hace es teclearlo en un buscador de internet para conocer opiniones, una primera impresión de la entidad, etcétera.
El hecho de contar con una página web en nuestra entidad implica el cumplimiento de la normativa en materia de protección de datos entre otras;
En principio, siempre que se recabe cualquier dato de carácter personal bien porque:
- Tenemos un formulario de contacto, suscripción o de comentarios.
- Vendemos productos o servicios.
- Contamos con publicidad en la web.
- Utilizamos cookies como las de Google Analytics.
- Etcétera.
Siempre se deberá adecuar la web a las normas indicadas, pero ¿cómo podemos los articulamos a nivel web? a través de:
- El Aviso Legal, texto web que se deriva de las exigencias del artículo 10 de la Ley de Servicios de la Sociedad de la Información (LSSI).
- La Política de Cookies + Banner, para el RGPD el consentimiento deberá ser recabado mediante una clara acción afirmativa, manifestación de voluntad libre, específica, informada e inequívoca del interesado.
- La Política de Privacidad, texto que responde a las exigencias normativas del principio de información desarrollado en los artículos 13 del Reglamento General Europeo y el artículo 11 de la Ley Orgánica Española.
Una vez insertados los textos podremos decir que tenemos el primer paso para cumplir con la normativa en materia de protección de datos y la LSSI, pues luego hemos de prestar atención a las publicaciones y acciones que realicemos en nuestra web, dado que si esto no lo realizamos correctamente puede implicar posibles sanciones para nuestra entidad.
En adelante analizaremos una sanción a una comunidad de propietarios que tiene relación con lo indicado, en concreto el PS/00486/2021, como consecuencia de una brecha de seguridad:
En este caso nos encontramos con una comunidad de propietarios que cuenta con una página web propia, en la cual suelen publicar temas interesantes a conocer por todos los propietarios, como por ejemplo reuniones, novedades, etcétera.
La cuestión principal del caso concreto y por la que se reclama en materia de protección de datos ante la Agencia Española de Protección de Datos (AEPD) viene dada porque el presidente realiza una publicación en la que aparecen los datos personales de varios propietarios, entre los que se encuentran los de los reclamantes (nombre, apellidos, piso). En la propia reclamación se aporta a la autoridad de control copias de las publicaciones realizadas en la página web de la comunidad de propietarios en las que constan los datos, así como los requerimientos al presidente de la comunidad de propietarios solicitando la eliminación de dichas publicaciones.
A mayor abundamiento, es importante destacar que dichas publicaciones no se hacen en la sección restringida de la página web a la que únicamente pueden acceder los propietarios, sino que se hacen en abierto, en un apartado en el que cualquier usuario que este navegando por la web puede visualizar los datos de carácter personal indicados.
Recibidas las notificaciones de las reclamaciones por parte de la comunidad de propietarios, la empresa que presta servicios en materia de protección de datos y les representa en el presente procedimiento, hace entrega de un escrito ante la AEPD en el que se aclaran las adecuaciones realizadas en la materia por parte de la comunidad de propietarios, contando por tanto con la siguiente documentación:
- Contratos de Encargados del tratamiento con los proveedores con acceso a datos.
- Documentos para el ejercicio de derechos de acceso, rectificación y supresión, portabilidad, derecho al olvido.
- Documento de medidas de seguridad y cómo actuar ante brechas.
- Registro de actividades de tratamiento.
Además, se hacen comprobaciones periódicas por si hubiera que modificar algún dato y/o realizar un nuevo documento, como es el caso con la realización de la página web que se tuvo que incorporar las políticas de privacidad, cookies y aviso legal respectivamente.
En cuanto a las evidencias, la comunidad de propietarios entrega las siguientes:
- Copia de los contratos de encargo de tratamiento.
- Informe del presidente de 2019 que fue aprobado en la asamblea por la mayoría de los propietarios.
- Política de privacidad y aviso legal que aparece en la web.
- Documento de la Agencia Española de Protección de Datos de 2008, acreditativo de inscripción de ficheros. Demuestra la preocupación por cumplir con la normativa por parte de la Comunidad de Propietarios.
Pues bien, como vemos todo parece indicar que la comunidad de propietarios es una entidad que esta al día con el cumplimiento de la normativa en materia de protección de datos como regla general, entonces:
¿Por qué la AEPD ha estimado conveniente interponerles una sanción pecuniaria?
En primer lugar, se interpone a la comunidad de propietarios una sanción de 2.500€ por la vulneración del artículo 5.1.f) del RGPD:
“1. Los datos personales serán: (…) f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).”
Se considera vulnerado el precepto indicado porque los datos de los reclamantes (entre otros) fueron expuestos a terceros, todo ello mediante su publicación en la sección abierta de la página web de la comunidad de propietarios, a la que puede acceder cualquier tercero ajeno, pues no requiere registro ni identificación previa, vulnerándose por tanto el deber de confidencialidad como consecuencia de la filtración de datos no consentidos por sus titulares.
En segundo lugar, se interpone a la comunidad de propietarios una sanción de 2.500€ por la vulneración del artículo 32 RGPD:
“Seguridad del tratamiento
1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
a) la seudonimización y el cifrado de datos personales;
b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento;
c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico;
d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos.
3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo.
4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros.”
Atendiendo a las medidas de seguridad que el precepto reproduce, en el momento en el que ocurrió la brecha de seguridad (publicación de los datos de los propietarios en la página web, en abierto), las medidas de seguridad que disponía la comunidad de propietarios eran insuficientes para garantizar la confidencialidad de los datos personales de los propietarios, esto es así por los siguientes motivos;
- Dichas medidas se concretaban en acceso restringidos a la información, aplicando firewall y antivirus, así como las copias de seguridad e imágenes de los sistemas pertinentes para evitar cualquier contingencia.
- En relación con la página web, se incorporaron las correspondientes políticas de privacidad, cookies y aviso legales respectivamente.
- Si bien, debería haber estado cerrada a personas no autorizadas y adoptar medidas de seguridad tales como que el usuario autorizado se identificara mediante contraseña, y que la conexión del usuario al servidor se hiciera por una conexión cifrada (Conexión SSL encriptada con algoritmo AES de 256 bits) para asegurar la seguridad y privacidad de los usuarios.
- No utilizar el área restringida para propietarios con el que cuenta la página web para realizar la publicación.
Por lo tanto, en base a lo indicado, la AEPD estima conveniente interponer dos sanciones de 2.500€ (total 5.000€) a la comunidad de propietarios por los incumplimientos explicados anteriormente.
Para concluir, está claro que los usuarios son cada vez más conscientes del valor de su información y de sus derechos en materia de protección de datos, lo cual hace que se produzca un ascenso en las reclamaciones ante la AEPD y por ende de las investigaciones a distintas entidades por parte de esta. Por lo tanto, recuerda que no solamente basta con tener los textos legales implementados en tu web, sino que toda entidad, ha de tener una organización interna que vele por crear una verdadera cultura de protección de datos para un adecuado conocimiento de las exigencias normativas en la materia, de tal manera que no ocurran “descuidos” como el analizado en el presente artículo, por los que podemos vernos expuestos a recibir una cuantiosa sanción.
Si quieres conocer más en profundidad como han de cumplir las comunidades de propietarios con la normativa en materia de protección de datos puedes hacerlo pinchando aquí.