Auditdata Proteccion de datos

Auditdata Proteccion de datos Empresa auditora de la Ley de Protección de Datos para Pymes y Autónomos

11/03/2021

La AEPD impone una multa de 15.000 euros a una comunidad de propietarios por publicar las actas de una reunión sin anonimizar

--------------------------------------------------------------------------

La Agencia Española de Protección de Datos (AEPD) en el procedimiento sancionador número 00378/2019, abierto por infracción del Reglamento General de Protección de Datos (RGPD), sanciona con 15.000 euros a una comunidad de propietarios formada por 215 vecinos, uno de ellos planteó denuncia ante este regulador al aparecer los datos personales de todos los afectados en un acta publicada en el ascensor del inmueble.

El documento era especialmente importante, ya que en él se acordaba el inicio de acciones judiciales contra una serie de vecinos de la comunidad por obras ilegales.

Protección de Datos indica en su resolución que la comunidad ha vulnerado el artículo 5.1 f) del RGPD, que rige los principios de integridad y confidencialidad de los datos personales, así como la responsabilidad proactiva del responsable del tratamiento de demostrar su cumplimiento.

El regulador español establece la sanción máxima en este sentido con los agravantes que vienen definidos como acción negligente no intencional, pero significativa (artículo 83.2 b del propio RGPD y además se encuentran afectados identificadores personales básicos, según el artículo83.2g del citado reglamento.

En cuanto a los tratamientos de datos que tienen lugar en las comunidades de propietarios, «podemos distinguir, al menos, los siguientes: los derivados de la propia gestión de la comunidad (datos de propietarios, actas, facturas para mantener la comunidad, etc.); videovigilancia, en caso de que haya sido instalada por la comunidad, que únicamente puede instalarse en las zonas comunes, con la posibilidad de que también se instale en la piscina comunitaria».

Pues bien, para ayudar a este sector, la Agencia Española de Protección de Datos publicó la Guía Protección de Datos y Administradores de Fincas, y en su sede electrónica, en la relación de ‘preguntas frecuentes’, existe un apartado dedicado a las comunidades de propietarios.

El ascensor no es el canal

“Para una Comunidad de Propietarios sorprende una cuantía de 15.000 euros, es una sanción bastante importante. No es menos la infracción. Hablamos de una muy grave porque vulnera, o eso entiende la AEPD, uno de los principios básicos del RGPD de integridad y confidencialidad de la información”.

La Ley de Propiedad Horizontal deja publicar en el tablón si no se ha conseguido la notificación personal y eso queda acreditado, “según se expone en la resolución sancionadora, dicha acreditación en este caso no se ha producido y se buscó un método expeditivo. Esto es lo que se ha hecho a costa de conculcar derechos fundamentales de las personas”.

Desestimado el recurso de reposición ante la AEPD, la comunidad de propietarios tiene la posibilidad, salvo pedir una suspensión cautelar, de recurrir a la Audiencia Nacional. Hay también la opción de pagar en el plazo con lo cual habría una reducción de la sanción económica y pagar un porcentaje de reducción.

En este caso no tiene personalidad jurídica propia, tiene un CIF a efectos fiscales pero a efectos jurídicos no es una entidad, “por tanto en esa comunidad de bienes se podría repercutir esa sanción en los distintos propietarios de forma solidaria si fuera insolvente”.

Cuidado con los datos de terceros

Por su parte, José Leandro Núñez, socio de Audens y miembro de la Junta Directiva de ENATIC, explica que “la clave del fallo está en la propia resolución en su página tercera, segundo párrafo”.

A este respecto, señala que “lo que dice la Ley de Propiedad Horizontal cuando hay una deuda es que si le mandas una notificación al dueño del piso y no la recoge puedes publicar la deuda en el tablón de la comunidad. Pero en este caso hablamos de una obra. Es el único caso donde puedes publicar en el tablón. Pasado unos días se entiende notificada y puedes reclamar por otro día”.

En este caso cree que “han utilizado el método del tablón de forma directa sin utilizar primero una carta certificada. Colgaron los datos de todos los participantes en la reunión y no solo de aquellos que no pudieron notificar. Y al mismo tiempo, colgaron cosas que no son deudas, obras ilegales que la comunidad quiere demandar a los propietarios”.

Para este experto en privacidad, “ el problema aquí es triple, no son deudas, no se ha notificado por otro canal y además se han colgado de todo el mundo. De ahí que la sanción sea tan elevada”.

Este jurista señala que “la sanción es por vulnerar el deber de secreto o de confidencialidad. No se pueden publicar los datos personales en un lugar abierto como aquí ha sucedido. Esto no está permitido. Y en este caso la AEPD actúa en consecuencia”.

En cuanto al pago es previsible que se haga una derrama entre todos los vecinos para afrontar estas 15.000 que la AEPD impone a la citada comunidad de propietarios. “Normalmente la AEPD apercibía o ponía sanciones bajas, pero en este caso el asunto es grave y no presentaron ningún tipo de apelación”.

21/01/2021

En 2020 se pusieron más multas por GDPR que nunca, y también más altas

Desde que entró en vigor, las multas por incumplimiento del Reglamento General de Protección de Datos (GDPR) que han puesto los reguladores de la Unión Europea (UE) ascienden a 272,5 millones de euros. De esa cifra, 158,5 millones de euros corresponden a 2020. Es decir, casi el 60% de todas las multas han sido impuestas el año pasado.

Además, la tasa diaria de notificaciones de incumplimiento en Europa ha crecido significativamente durante dos años consecutivos.

Así se constata según los datos recopilados por el bufete de abogados DLA Piper, que asegura que durante 2020 se notificaron 121.165 infracciones, un 19% más que el año anterior.

15/09/2020

Comunicado sobre la recogida de datos personales por parte de los establecimientos

La Agencia Española de Protección de Datos ha tenido constancia de la proliferación de diversas iniciativas públicas que tratan de fomentar una reacción rápida ante posibles nuevos brotes de COVID–19, como registrar determinados datos de los clientes que acuden a locales de ocio.

A este respecto, es necesario puntualizar que los datos que se recogen, aunque estén relacionados con el control de la pandemia y su tratamiento sea al objeto de poder identificar posibles infectados, no son datos catalogados en el RGPD como “categorías especiales”.

Para poner en marcha el registro de clientes que acuden a locales de ocio, tratándose de una medida para la contención del coronavirus, debe acreditarse su necesidad por las autoridades sanitarias y tiene que ser obligatoria, ya que si fuera voluntaria perdería efectividad. Adicionalmente, si se acudiera a la base jurídica del consentimiento, para poder apreciar un consentimiento libre, sería necesario que no se derivara ninguna consecuencia negativa, es decir, que no se impidiera la entrada al establecimiento.

Teniendo en cuenta que ya no está vigente el estado de alarma, la obligatoriedad de tomar datos por parte de los establecimientos tiene que establecerse por una norma con rango de ley. En tal caso, la base jurídica sería el 6.1.c) (“el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento”).

En todo caso, debe señalarse que el hacer un seguimiento adecuado de la evolución de los contagios y de la obligación de tomar datos y cederlos a las autoridades sanitarias tiene su fundamento en la garantía de un interés público de controlar la pandemia, por lo que la base jurídica sería, con carácter preferente, el artículo 6.1.e) del RGPD (“el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento”).

A estos efectos, debe hacerse especial incidencia en la necesidad de justificar que no existan otras medidas más moderadas para la consecución del propósito perseguido con igual eficacia. Por ello deberían identificarse bien y limitarse a aquellos sitios en los que exista una mayor dificultad para el cumplimiento de estas medidas (no es lo mismo una discoteca, en la que las personas quieren estar cerca, que un museo, en el que se pueden habilitar espacios adecuados para que circule la gente y limitar mucho los contactos). A tal efecto, deberían ser las autoridades sanitarias quienes valoren motivadamente en qué lugares sería obligatorio identificarse.

Por otro lado, la recogida y la cesión de datos debería organizarse de una forma que el registro permita identificar los posibles contactos (es decir, que exista una probabilidad de que hayan coincidido, al estar en la misma hora, en el mismo sitio, etcétera). En otro caso, como podría suceder en un museo, si hay un infectado y se avisa a las miles de personas que ese día lo pudieron haber visitado, aparte de ser un tratamiento excesivo, podrían producirse dificultades o incluso un colapso en la asistencia sanitaria. Cuestión que también tienen que valorar las autoridades sanitarias de las Comunidades Autónomas.

Adicionalmente, debe cumplirse con el principio de minimización, en virtud del cual podría ser suficiente con obtener un número de teléfono, junto con los datos del día y la hora de asistencia al lugar. Este criterio, junto con el de la anonimización de los titulares del dispositivo, ha sido el asumido por el Comité Europeo de Protección de Datos en la Recomendación sobre el uso de datos de localización y aplicaciones de seguimiento de contactos en el contexto de la pandemia; criterio que puede extrapolarse a esta situación con las adaptaciones pertinentes.

En consecuencia, no sería necesario solicitar el nombre y los apellidos, que serían innecesarios para la finalidad de avisar a los posibles contactos, y en ningún caso es necesaria la identificación mediante el DNI por ser desproporcionada.

Asimismo, debe aplicarse estrictamente el principio de limitación de la finalidad, de forma que los datos sólo deben poder utilizarse para la finalidad de lucha contra el virus, excluyendo cualquier otra, así como el principio de limitación del plazo de conservación.

De acuerdo con estos criterios, los establecimientos serían responsables de la recogida de datos en virtud de una obligación legal establecida por una norma con rango de ley y la administración autonómica sería la cesionaria de esos datos por razones de interés público previstos en la ley. La administración autonómica deberá establecer criterios sobre la forma en la que se recogen y comunican esos datos personales a la Administración sanitaria.

Por su parte, los ciudadanos deben recibir una información clara, sencilla y accesible sobre el tratamiento antes de la recogida de los datos personales. En todo caso, la información debe tratarse con las medidas de seguridad adecuadas.

27/11/2019

Difusión Ilegítima de Contenidos Especialmente Sensibles

Si tiene conocimiento de la existencia de determinadas imágenes de contenido sexual o que muestran actos de agresión, cuya difusión sin el consentimiento de las personas afectadas está poniendo en ALTO RIESGO sus derechos y libertades, y no ha logrado su retirada a través de los canales especialmente previstos por el prestador de servicios, puede presentar una reclamación a la Agencia de Proteccion de datos (aepd.es)

Deberá describir detalladamente las circunstancias en que se ha producido la difusión no consentida de las imágenes, indicando en particular si la persona afectada es víctima de violencia de género, abuso o agresión sexual o acoso y si pertenece a cualquier otro colectivo especialmente vulnerable: menores de edad (especificando si es menor de catorce años), personas con discapacidad o enfermedad grave o en riesgo de exclusión social.

Si las imágenes están siendo difundidas actualmente a través de Internet, copie y pegue la dirección o direcciones web de acceso o identifique claramente el perfil social a través del que se están difundiendo

Especifique si ha llevado a cabo acciones para denunciar los hechos ante las instancias policiales, detallando, en tal caso, las instancias administrativas o judiciales concretas y la referencia de los procedimientos que se estén tramitando.

Especifique si ha llevado a cabo acciones para limitar la difusión de los datos personales, identificando claramente, en tal caso, a los prestadores de servicios (la red social, el portal de vídeo o de blogs, …) a los que se ha dirigido.

Adjunte los documentos que considere relevantes para la tramitación de su reclamación, particularmente una copia de la pantalla o del dispositivo donde pueda apreciarse claramente el servicio (la red social, el portal de vídeo o de blogs …) a través del cual se están difundiendo las imágenes.

Tras el análisis de la reclamación, la Agencia determinará la posible adopción de MEDIDAS URGENTES que limiten la continuidad del tratamiento de los datos personales.

Dirección

Barcelona
08010

Teléfono

635499503

Página web

Notificaciones

Sé el primero en enterarse y déjanos enviarle un correo electrónico cuando Auditdata Proteccion de datos publique noticias y promociones. Su dirección de correo electrónico no se utilizará para ningún otro fin, y puede darse de baja en cualquier momento.

Contacto La Empresa

Enviar un mensaje a Auditdata Proteccion de datos:

Atajos

Compartir

Categoría