Cada vez estamos mas concienciados en el campo de la protección de datos. En muchas ocasiones, antes de llevar a cabo determinadas acciones con datos personales, nos ponemos en alarma; ¿es posible dar a conocer un listado con datos personales?; ¿podemos subir a las redes sociales fotografías sin consentimiento? …etc. No obstante, en algunas ocasiones, no somos conscientes de la repercusión que puede tener exhibir datos personales y eso es lo que ha sucedido en la resolución que vamos a analizar a lo largo del presente artículo.
Hace unas semanas, la Agencia Española de Protección de Datos (en adelante AEPD), publico una resolución Expediente Nº: EXP202204297, a través de la cual sancionan a una cooperativa de viviendas por exponer en los ascensores, copia de una convocatoria a Junta General Extraordinaria, donde figuran los nombres, apellidos, piso y cuantía adeudada por determinados cooperativistas. Dicha copia es expuesta en los ascensores de siete viviendas.
Asimismo, la parte reclamante alega que el documento que se expuso en los ascensores además se remitió a todos los cooperativistas por correo electrónico sin utilizar la opción de copia oculta (CCO), lo que originó que se conocieran los correos electrónicos de todos los socios y que, como consecuencia de aquello, se dirigiesen comunicaciones a algunos de los correos.
Tras conocer los hechos que originan la reclamación, la Agencia recibe escrito de respuesta por la cooperativa (o parte reclamada) donde se justifican del siguiente modo:
- Respecto de la publicación de los acuerdos en los ascensores:
Alegan que la exposición de los documentos con datos personales en los ascensores de la comunidad es “práctica habitual de la misma desde siempre y precisamente por hacer primar la transparencia y en una actitud garantista, han venido colgando las convocatorias y las actas de las juntas de este modo”. Además, manifiestan que los denunciantes nunca han mostrado oposición a ello.
La reclamada también manifiesta que el tratamiento de los datos personales expuestos se circunscribe a los socios que forman parte a su vez de la comunidad de propietarios y que según la Ley que le resulta de aplicación también contempla la posibilidad de colgar acuerdos en el tablón de anuncios al cual equiparan con el ascensor. Insiste en que desde la constitución de la cooperativa y comunidad siempre se ha considerado el ascensor como tablón de anuncios. Aporta como prueba de ello las actas de juntas en las que se hace constar que la notificación de la convocatoria lo es mediante los ascensores, donde posteriormente se cuelgan las mismas.
- Respecto de la remisión de correos desde la cooperativa a un grupo de socios sin utilizar copia oculta:
Indica la reclamada que las personas que aparecen en copia en los correos pertenecen a una cooperativa de viviendas la cual argumenta que, desde el principio, ya advirtieron los socios que había existido una mala gestión de la cooperativa y debido a la multitud de reuniones que tuvieron que realizar para hacer frente a numerosos problemas y con el ánimo de actuar en todo momento con máxima transparencia y colaboración, se valoró crear un grupo para que todos pudiesen intervenir, opinar, aportar soluciones y, en definitiva, trabajar en equipo.
La cooperativa reclamada apunta que finalmente se creó el grupo de Google (correo Gmail) para la finalidad anteriormente descrita y que todos los correos facilitados por los vecinos que querían participar en el grupo se trasladaron de manera voluntaria y que quien quiso formar parte del grupo, facilitó sus datos autorizando expresamente a formar parte del mismo. Por ello manifiestan que, al ser un grupo voluntario, solo participaba en el mismo el cooperativista que lo deseara ya que no todos los socios pertenecen a ese grupo.
Por último, señala la cooperativa que los correos se han enviado visibles para todos desde su creación en 2013 y nunca desde entonces ha habido queja ni se ha solicitado por ninguna de estas personas que se ocultase sus nombres. En consecuencia, entiende la reclamada que existe un consentimiento expreso por parte de todos los participantes del grupo a ello y que de manera voluntaria y con pleno conocimiento de que sus direcciones consintieron que así se realizase, también los denunciantes.
Así las cosas, nuestra autoridad de control comienza analizando el segundo supuesto, respecto de los correos electrónicos enviados sin copia oculta.
En primer lugar, menciona el Reglamento Europeo de Protección de Datos, en adelante RGPD, en concreto su Considerando 32:
“El consentimiento debe darse mediante un acto afirmativo claro que refleje una manifestación de voluntad libre, específica, informada, e inequívoca del interesado de aceptar el tratamiento de datos de carácter personal que le conciernen, como una declaración por escrito, inclusive por medios electrónicos, o una declaración verbal. Esto podría incluir marcar una casilla de un sitio web en internet, escoger parámetros técnicos para la utilización de servicios de la sociedad de la información, o cualquier otra declaración o conducta que indique claramente en este contexto que el interesado acepta la propuesta de tratamiento de sus datos personales…”
Por su parte, la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, en adelante LOPDGDD, estipula en su artículo 6.1:
“De conformidad con lo dispuesto en el artículo 4.11 del Reglamento (UE) 2016/679, se entiende por consentimiento del afectado toda manifestación de voluntad libre, específica, informada e inequívoca por la que este acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen.”
En relación con la reclamación referida al envío de correos electrónicos sin usar la opción de la copia oculta (CCO) y que ello ha supuesto que todos los socios cooperativistas hayan conocido sus direcciones de correo, se significa que, a la vista de la documentación aportada por la reclamada y que obra en el expediente y al que nos remitimos, dichos correos fueron enviados en el seno de un grupo de Google creado por los propios socios cooperativistas para relacionarse entre ellos para tratar asuntos de la cooperativa.
Continua la Agencia manifestando que, de conformidad con las pruebas entregadas por la reclamada, para formar parte de ese grupo, había que recibir una invitación y aceptar la misma (botón “aceptar esta invitación”). Además, para acceder al grupo, cada usuario tiene que usar una contraseña propia que haya definido. Y para desistir de la suscripción al grupo, existe una dirección de correo que ofrece Google para ello.
Por tanto, a la vista de ello, y de conformidad con la normativa antes indicada, la Agencia manifiesta que consta acreditado que la parte reclamante habían previamente consentido en formar parte del grupo y, por tanto, el tratamiento realizado de sus direcciones de correo.
A la vista de las actuaciones realizadas y de la documentación obrante en el expediente, concluye la AEPD dictaminando que no se infiere la existencia de una actuación infractora por parte de la cooperativa reclamada en el ámbito competencial de la Agencia Española de Protección de Datos respecto a esta cuestión.
Una vez determinado que los correos enviados a los cooperativistas reclamantes no es motivo de infracción en materia de protección de datos, continua nuestra Agencia resolviendo acerca del motivo principal de la reclamación: exposición de un documento con datos personales en varios ascensores de una cooperativa.
La Agencia comienza manifestando que consta que los datos personales de los reclamantes (vivienda e información sobre cuantías adeudadas junto con el nombre y apellidos de los mismos), fueron indebidamente expuestos por la cooperativa a terceros, por cuanto que aparecían en un documento de convocatoria a Junta General Extraordinaria que fue colocado por la cooperativa en el interior de los ascensores de varias viviendas, lugar por donde puede transitar cualquier persona, sea o no socio cooperativista, al ser una zona de acceso público, lo que constituye un acceso no autorizado a dichos datos por terceros.
Frente a los argumentos que expone la reclamada, anteriormente señalados, la Agencia señala varias cosas:
La primera, y que ya se ha mencionado, que el colocar documentos de la cooperativa (convocatorias de Juntas, actas, etc) conteniendo datos personales en zonas de paso público (ascensores) supone no sólo el acceso a los mismos por parte de los socios, sino también por parte de cualquier persona que acceda al inmueble, lo que constituye un acceso no autorizado a dichos datos por terceros.
En segundo lugar, en cuanto a que los socios cooperativistas también están constituidos como comunidad de propietarios y que, por tanto, aplica la Ley de Propiedad Horizontal (en adelante LPH) entendiendo la cooperativa que dicha ley permite poner acuerdos en el tablón de anuncios y que, si se ha acordado por todos que sea el ascensor pues ese será el lugar adecuado. Respecto a esta apreciación, la LPH indica lo siguiente:
Artículo 9.h) LPH: “Comunicar a quien ejerza las funciones de Secretario de la comunidad, por cualquier medio que permita tener constancia de su recepción, el domicilio en España a efectos de citaciones y notificaciones de toda índole relacionadas con la comunidad.
En defecto de esta comunicación se tendrá por domicilio para citaciones y notificaciones el piso o local perteneciente a la comunidad, surtiendo plenos efectos jurídicos las entregadas al ocupante del mismo.
Si intentada una citación o notificación al propietario fuese imposible practicarla en el lugar prevenido en el párrafo anterior, se entenderá realizada mediante la colocación de la comunicación correspondiente en el tablón de anuncios de la comunidad, o en lugar visible de uso general habilitado al efecto, con diligencia expresiva de la fecha y motivos por los que se procede a esta forma de notificación, firmada por quien ejerza las funciones de Secretario de la comunidad, con el visto bueno del Presidente. La notificación practicada de esta forma producirá plenos efectos jurídicos en el plazo de tres días naturales”.
En el presente caso la exposición de los datos personales de los reclamantes en el ascensor de la comunidad no obedece a los supuestos expuestos en la Ley de Propiedad Horizontal.
Por último, concluye la AEPD manifestando que aunque se haya acordado que el ascensor es el lugar de comunicación que han decidido utilizar los vecinos y/o los socios cooperativistas, no significa que dichas comunicaciones se realicen vulnerando la normativa en materia de protección de datos personales, especialmente la obligación de preservar la confidencialidad de los mismos, sobre todo frente a terceros ajenos: podrá ser un canal de comunicación, pero sin contener datos personales más allá de lo que permita la legislación aplicable.
De conformidad con las evidencias de las que se dispone en este acuerdo de iniciación del procedimiento sancionador, nuestra autoridad de control considera que los hechos conocidos podrían ser constitutivos de una infracción, imputable a la comunidad, por vulneración del artículo 5.1.f) del RGPD:
Los datos personales serán “tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).”
La Agencia considera que la infracción en cuestión es muy grave a los efectos del RGPD. El balance de las circunstancias contempladas en el artículo 83.2 del RGPD y el artículo 76.2 de la LOPDGDD, con respecto a la infracción cometida al vulnerar lo establecido en el artículo 5.1.f) del RGPD, permite fijar inicialmente una sanción de 2.000 euros.
Asimismo, en el momento de producirse la brecha, no cabe afirmar que la reclamada contase con las medidas apropiadas para evitar el incidente, puesto que publicó los datos personales de los reclamantes en los ascensores de varias viviendas, es decir, en una zona fácilmente accesible por cualquier persona, reconociendo, además, que lleva haciéndolo desde hace mucho tiempo, lo cual pone en evidencia la falta de medidas técnicas y organizativas adecuadas. Por tanto, se considera que los hechos conocidos podrían ser constitutivos de una infracción, imputable a la Comunidad, por vulneración del artículo 32 del RGPD, fijando la cuantía de la sanción en 1.000 euros.
Finalmente, la cooperativa reclamada paga de forma voluntaria la sanción por lo que, tras las preceptivas reducciones, la suma de la sanción es de 1.800 euros.
Así las cosas, y tras todo lo expuesto, debemos pensarnos dos veces la publicación de datos personales en ascensores y otros lugares de acceso total al público teniendo otras alternativas disponibles que si que cumplen con la normativa marcada por el RGPD. Si quieres saber más, pincha aquí.