Gracias al Reglamento Europeo de Protección de Datos (en adelante RGPD), nuestros datos personales están más protegidos que nunca. Gracias a las garantías que los ciudadanos tenemos en esta materia podemos conocer quién es el responsable del tratamiento de nuestros datos, cómo van a tratar los mismos, qué legitimación tienen los responsables para tratarlos y quiénes van a ser los destinatarios de nuestros datos personales. A lo largo de este artículo, vamos a conocer la importancia de tener una base de legitimación para poder tratar esos datos personales y, en concreto, para poder cederlos a terceros.
Hace unos dias teníamos conocimiento de una nueva resolución de la Agencia Española de Protección de Datos (en adelante AEPD), nº expediente 202105940, en la cual se sanciona a una Inmobiliaria por ceder datos de sus clientes a terceros sin su consentimiento, es decir, sin contar con una base de legitimación que ampare la cesión de esos datos. Así las cosas, comenzamos a narrar los hechos y motivos que han dado lugar a esta sanción:
1.- La parte reclamante explica la relación que les unía con la inmobiliaria reclamada: ellos eran los inquilinos de un piso de alquiler propiedad de un particular, pero con la Inmobiliaria como intermediaria entre los propietarios y los inquilinos.
Cuando finaliza el contrato de alquiler, la Inmobiliaria notifica a través de correo electrónico con un PDF a los inquilinos la devolución de la fianza, el descuento de gastos consistentes en agua, cambio de cerradura y limpieza del piso. En el mencionado documento PDF se encontraban dos facturas a nombre de los inquilinos y las terceras entidades de cerrajería y limpieza, las cuales, no mantuvieron en ningún momento una relación de prestación de servicios directamente con los inquilinos, si no con la Inmobiliaria reclamada. La parte reclamante aporta el correo y el documento de PDF adjunto con las dos facturas para acreditarlo.
2.- Seguidamente, nuestra Autoridad de Control da traslado de dicha reclamación a la Inmobiliaria reclamada para que procediese a su análisis e informase a la Agencia respecto de los hechos anteriormente narrados.
La parte reclamada contesta a la AEPD solicitando que “se archive el expediente, por cuanto no hay motivo de reclamación al existir el consentimiento expreso del reclamante y haberse desarrollado todo en el marco del cumplimiento de un contrato”. Para acreditar dicha afirmación, la Inmobiliaria intenta justificarse de las acusaciones vertidas por la reclamante con las siguientes pruebas documentales que adjuntan:
- Copia del contrato de arrendamiento, donde en una de sus cláusulas, se estipula que el arrendador (particular) apodera y autoriza a la Inmobiliaria para demandar y obtener en cualquier momento la devolución de la fianza correspondiente al arrendamiento.
- Hilo de correos electrónicos:
“Hemos visto que ha cambiado el cerrojo de la puerta de entrada que era de seguridad. Por favor, necesitaríamos que nos confirme si lo tiene, si no tendremos que poner uno nuevo y restarlo de la fianza”.
El reclamante responde en estos términos “Lo siento, pero no consigo encontrar el cerrojo de la puerta, así que me parece bien que pongan uno nuevo y nos lo descuenten de la fianza.”
Tras estas manifestaciones por parte de la Inmobiliaria reclamada, la Agencia admite a trámite la reclamación y da luz verde al acuerdo de inicio del procedimiento sancionador notificando a la reclamada. De esta forma, la Inmobiliaria presenta sus alegaciones, nuevamente y en primer término solicitando el archivo de las actuaciones y, subsidiariamente, como alternativa a la multa prevista en el acuerdo de apertura, se imponga apercibimiento.
1.- Sobre el archivo de las actuaciones, la parte reclamada comienza recordando el contrato de arrendamiento de la vivienda entre los inquilinos reclamantes y la Inmobiliaria, la cual, tenía conferida la administración de la misma. A colación de este hecho, manifiestan que dicho tratamiento de datos denominado “Gestión Inmobiliaria y otros servicios” se encuentra correctamente registrado en su RAT.
En relación con los hechos en los que la parte reclamante basa su reclamación, argumentan que han seguido el procedimiento habitual que se lleva a cabo al presentar la liquidación económica del inmueble y devolución de la fianza al inquilino. Matizan que los servicios adicionales como son cerrajería y limpieza deben ser facturados directamente entre el proveedor de servicios y los inquilinos.
Asimismo, continúan manifestando que la parte reclamante estuvo conforme en la contratación de dichos servicios de limpieza y cerrajería y que nunca llevaron a cabo una comunicación de datos que no haya sido debidamente informada y autorizada y que tiene su base legal en los artículos 6.1.a y 6.1.b del RGPD.
2.- Sobre la sustitución de la multa administrativa por un apercibimiento alegan que nunca han sido sancionados/apercibidos por incumplir la normativa en protección de datos, que el volumen de datos tratados solo afecta a dos individuos y son datos identificativos, que el daño en materia de protección de datos es ‘inexistente’, que hay ausencia de intencionalidad y que la inmobiliaria ha procedido a actualizar el clausulado en materia de protección de datos.
Una vez notifican a las partes la apertura de la fase de prueba, la AEPD solicita a la parte reclamada que remita la información y documentacion siguiente para poder llegar a una resolución:
- Acreditación documental de que la parte reclamante otorgo su consentimiento a la Inmobiliaria para tratar sus datos personales con la finalidad de celebrar en su nombre un contrato con la empresa de cerrajería y limpieza.
A la primera de las pruebas solicitadas, la Inmobiliaria remite, además de los correos que ya entregaron en su momento y arriba referenciados, el siguiente texto:
“Buenas tardes, (…). Adjunto el resumen para proceder a la devolución de la fianza. Verá que hemos restado la liquidación del agua, el bombín nuevo y la limpieza. También adjuntamos las fotografías como comprobante del estado del piso. Por favor, necesito que me confirme que el número de cuenta que tengo sea el correcto […]”.
La respuesta del reclamante: “La cuenta es correcta”
- Copia del contrato de intermediación entre la Inmobiliaria y las copropietarias de la vivienda.
- Cifra de negocio de la entidad reclamada.
Así las cosas, la Agencia notifica su propuesta de resolución y califica los hechos como una infracción del artículo 6.1 del RGPD, tipificada en el artículo 83.5.a) del RGPD, con una multa administrativa por importe inicial de 40.000€ (cuarenta mil euros).
La parte reclamada, frente a esta propuesta, continúa alegando que los reclamantes habían prestado su consentimiento a dichas comunicaciones de datos a los proveedores y que, la cesión de datos a las entidades de cerrajería o limpieza era el procedimiento habitual que se acostumbra a llevar cuando se ha de presentar la liquidación económica de un inmueble junto con la devolución de la fianza al rescindir un contrato de alquiler.
Respecto de los fundamentos de derecho, y centrándonos en si la Agencia considera si hubo o no consentimiento de conformidad con el articulo 6 RGPD de los reclamantes en la cesión de datos realizada por la inmobiliaria reclamada, nuestra autoridad de control determina lo siguiente:
“La conducta en la que se concreta la infracción del RGPD de la que se responsabiliza a la inmobiliaria, consistió en comunicar los datos personales del reclamante y de su pareja -el nombre, dos apellidos y el NIF- a terceras empresas, quienes emitieron a nombre de ambos, en calidad de clientes, sendas facturas.
… No existe controversia sobre el hecho de que fue la inmobiliaria reclamada quien comunicó los datos personales de los coarrendatarios de la vivienda.”
En los dos escritos presentados ante la AEPD la parte reclamada ha reconocido que llevó a cabo tal comunicación por los siguientes motivos:
“ los Sres. [el reclamante] /[la pareja del reclamante] procedieron al cambio de la cerradura de seguridad que tenía el piso por otra nueva de menor calidad por lo que al no proceder a la devolución de la cerradura instalada por la propietaria, acordaron el pago de una cerradura de la misma calidad a cargo de los Sres [el reclamante] /[la pareja del reclamante], motivo por el que se facilitaron sus datos a la empresa suministradora, puesto que la factura fue pagada por los Sres. [el reclamante] /[la pareja del reclamante], si bien descontándolo de la cantidad que en su día entregaron como fianza.”
“Cabe recalcar que si la inmobiliaria no hubiera tenido la conformidad de contratar dichos servicios por parte de los inquilinos, (ya fuera por mail o por teléfono), NO SE HUBIERAN COMUNICADO LOS DATOS PERSONALES DE LOS MISMOS, y en consecuencia no se hubieran emitido sendas facturas objeto de la controversia.”
La Agencia manifiesta que la parte reclamada invoca que el tratamiento de los datos de los coarrendatarios era licito y fundado en las circunstancias del articulo 6.1 RGPD. Sin embargo, el tratamiento controvertido NO está amparado en ninguno de los motivos de licitud previstos en el mencionado artículo.
Continua nuestra Autoridad de Control manifestando que no hay duda de que la inmobiliaria reclamada, en su calidad de administradora de la vivienda arrendada, estaba legitimada en virtud del contrato de arrendamiento celebrado y sobre la base del artículo 6.1.b) del RGPD para tratar los datos personales de los coarrendatarios cuando el tratamiento fuese necesario para el desenvolvimiento y ejecución de ese contrato de arrendamiento, como lo era exigirles, durante la liquidación de la fianza, la indemnización económica de la que eran acreedoras las propietarias del inmueble y que derivaba de las obligaciones que, en virtud del contrato celebrado, nacieron a cargo de los coarrendatarios. Ese y no otro era el tratamiento necesario para el desenvolvimiento o ejecución del mentado contrato de arrendamiento.
El contrato de arrendamiento suscrito entre el reclamante y su pareja y la inmobiliaria se limita a recoger las obligaciones que la Ley 29/1994, de 24 de noviembre, de Arrendamientos Urbanos impone al arrendatario. En ejecución del contrato de arrendamiento, las arrendadoras estaban facultadas -y en su nombre la inmobiliaria, por su condición de administradora- a exigir a los coarrendatarios que abonaran el coste de la reparación por el desgaste derivado del uso ordinario de la vivienda: limpieza del piso y servicio de cerrajería. En ese sentido, el arrendatario y reclamante, ante la imposibilidad de devolver el cerrojo de seguridad de la puerta de entrada respondió afirmativamente a la proposición que le hizo la inmobiliaria a través de correo electrónico: que procedería a poner uno nuevo y lo descontaría del importe de la fianza.
Cosa distinta es que la reclamada comunicara los datos de los coarrendatarios a empresas proveedoras de servicios en calidad de clientes de tales empresas. Ese tratamiento en ningún caso podía tener su fundamento en el apartado b) del artículo 6.1. del RGPD en conexión con el citado contrato de arrendamiento.
La inmobiliaria no acredita que la parte reclamante hubiera contratado personalmente con los proveedores ni que le hubiera otorgado su consentimiento para que contratara en su nombre con dichas empresas. La respuesta del reclamante al correo electrónico no prueba que él y su pareja hubieran otorgado a la reclamada su consentimiento para que tratara sus datos con la finalidad de celebrar un contrato en su nombre con la cerrajería. A mayor abundamiento, la AEPD considera, en el supuesto concreto, analizado el DNI como un dato especialmente sensible de tal forma que cuando se comunica a terceros sin base de licitud los datos de los arrendatarios, entre ellos sus respectivos NIF, se les priva de la facultad de controlar y conocer por quién y con qué finalidad se tratan sus datos y el impacto de ese tratamiento desde el punto de vista del riesgo se califica de muy alto.
De todo lo expuesto, se concluye que la reclamada no ha facilitado elementos de prueba ni indicios del supuesto consentimiento de los arrendatarios a la contratación de los servicios con las empresas proveedoras o contrato sobre el que fundar el tratamiento controvertido en conexión con el motivo de licitud del artículo 6.1.b) del RGPD cuya concurrencia invoca.
No existen elementos de prueba sobre los que sustentar que el tratamiento controvertido estaba basado en el motivo de licitud del artículo 6.1. del RGPD:
- No es admisible conectar esa circunstancia con el contrato de arrendamiento.
- Tampoco puede fundarse el tratamiento en el artículo 6.1.b) en conexión con unos contratos, los celebrados con los proveedores de servicios, que la reclamada afirma que los arrendatarios suscribieron por su mediación, ya que no ha aportado ninguna prueba que demuestre que los titulares de los datos consintieron que celebrase en su nombre tales contratos.
En este supuesto, la única base legitimadora para el tratamiento de dichos datos es el consentimiento de los afectados para la cesión de sus datos a las empresas proveedoras de los servicios.
La propuesta inicial de sanción de la Agencia fue de 40.000 euros, lo cual fue considerado por la parte reclamada de “desproporcionado”. Alegan que se aprecie como agravante el que se hubieran tratado los datos de dos personas, los dos coarrendatarios. Manifiestan igualmente que el tratamiento ha afectado “solo a dos interesados”, pero que no nos encontramos ante “un incumplimiento sistémico ni generalizado”.
Ante dichas alegaciones la Agencia responde que es cierto que no nos encontramos ante un incumplimiento sistémico, o al menos no está acreditado, sin embargo, sí lo está que el tratamiento versó sobre los datos de dos personas físicas, por lo que no se puede valorar con la misma gravedad el tratamiento realizado en este caso que el tratamiento que verse sobre un único interesado.
Por tanto, de acuerdo con el principio de proporcionalidad, que exige una correlación entre la gravedad de la infracción cometida y la sanción impuesta, en atención a que la infracción ha sido calificada de “escasa gravedad” y a las circunstancias del artículo 83.2 del RGPD que concurren como agravantes (apartados b) y k) en relación con el artículo 76.2.b) de la LOPDGDD), la sanción de multa administrativa que se acuerda imponer a la parte reclamada por la vulneración del artículo 6.1 del RGPD de la que se le responsabiliza, se fija finalmente en 4.000€ (cuatro mil euros).
Del presente análisis, debemos quedarnos con lo esencial: no podemos tratar los datos, en este supuesto ceder los mismos a terceros, sin el consentimiento de los interesados o sin una base de legitimación del articulo 6 RGPD ya que la consecuencia se puede traducir en una sanción.