Unas políticas inadecuadas en la gestión de usuarios y contraseñas junto con un protocolo inseguro de transferencia de datos dan lugar al inicio de un procedimiento sancionador por parte de la Agencia Española de Protección de Datos (en adelante, AEPD) que termina con sanción de 1.000€ a una comunidad de vecinos.
La AEPD ha publicado recientemente la resolución del procedimiento sancionador EXP202401123 en el que pone de relieve la importancia de proteger adecuadamente los datos personales en cualquier entorno, por muy cercano o cotidiano que pueda parecer, como, por ejemplo, una comunidad de vecinos.
El 11 de diciembre de 2023 se denunció ante la AEPD que una administración de fincas repartía en los buzones de los residentes (propietarios o inquilinos) las actas vecinas y, en estas, se incluía el acceso al portal de la web de la comunidad de vecinos. El reclamante aseguraba que en el portal de esta web figuraban datos de carácter personal de los vecinos como el nombre, apellidos, portal de residencia, impagos, cuentas bancarias y otros datos sensibles.
Junto a esto afirmaba que en el portal web estaban colgados documentos con datos personales de los comuneros y de la comunidad de propietarios, concretando que, dicha web carecía de certificado SSL y el usuario y contraseña de acceso era compartida por todos los vecinos, pudiendo así un vecino modificarla e impedir el acceso al resto.
Pues bien, las comunidades de propietarios también están obligadas a cumplir con el Reglamento General de Protección de Datos (en adelante, RGPD) y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (en adelante, LOPDGDD) y, por ende, la AEPD inició este procedimiento en el que, desde un primer momento, pudo verificar que la página web no era segura al estar utilizando el protocolo HTTP.
Concretamente esta web carecía de un certificado SSL y la web no disponía de un protocolo HTTPS (HyperText Transfer Protocol Secure) que aportase una capa de seguridad adicional gracias al cifrado SSL/TLS (Secure Sockets Layer/Transmission Layer Security), es decir, no había ningún cifrado de los datos durante la comunicación cliente – servidor.
Junto a esto, la AEPD pudo recalcar la falta de una correcta política de contraseñas y credenciales a un espacio con datos personales puesto que, el acceso a la página web se realizaba mediante el mismo usuario y contraseña para todos los propietarios de la comunidad de vecinos.
Es decir, todos los vecinos utilizaban el mismo usuario y contraseña para acceder a un portal web que contenía datos de carácter personal de los vecinos, pudiendo cualquiera de ellos modificarla, impedir el acceso al resto y dificultar la mitigación y detección de una potencial brecha de seguridad.
En definitiva, la configuración de accesos a esta web junto con la falta de privacidad de la misma abría la puerta a posibles filtraciones y/o ataques “man-in-the-middle” o “eavesdropping”. Por ello, la AEPD consideró que estos hechos descritos vulneraban el artículo 32 RGPD en el que se estipulan las medidas técnicas y organizativas mínimas que deben adoptarse por el responsable del tratamiento para la protección de los datos de carácter personal.
La infracción al RGPD parece clara, pero, resulta también interesante traer a colación como de nuevo la AEPD determina la responsabilidad entre Responsable del Tratamiento (Comunidad de Vecinos) y Encargado del Tratamiento (Administrador de Fincas). En el presente caso, aunque el Administrador de Fincas es quien gestiona el portal de la web, es la Comunidad de Propietarios quien debe exigir y supervisar el correcto cumplimiento normativo.
Esto se debe a que, en el presente caso, de acuerdo con lo establecido en el artículo 4.1 y 4.2 del RGPD, la Comunidad de Propietarios es quien realiza, entre otros tratamientos, la recogida y conservación de los datos personales de los propietarios. Y, en la línea de lo indicado por la AEPD, delegar funciones en un encargado del tratamiento no libera al responsable de su obligación de garantizar la seguridad tal y como se estipuló en la Sentencia STJUE de 5 de diciembre de 2023 dictada en el asunto C-683/21: “un responsable del tratamiento es responsable no solo por todo tratamiento de datos personales que efectúe él mismo, sino también por los tratamientos realizados por su cuenta, puede imponerse a ese responsable una multa administrativa con arreglo al artículo 83 del RGPD en una situación en la que los datos personales son objeto de un tratamiento ilícito y en la que no es él, sino un encargado al que ha recurrido, quien ha efectuado el tratamiento por cuenta suya”.
En definitiva, la AEPD confirmó dos incumplimientos claros por parte de la Comunidad de Propietarios:
- Uso de credenciales compartidas para acceder al área privada del portal de su web impidiendo poder identificar a los usuarios e incrementando el riesgo por accesos no autorizados.
- Uso de protocolo HTTP inseguro sin certificado SSL/TLS para una web con tratamiento de datos de carácter personal.
Ante esto, la Comunidad de Propietarios fue sancionada con una multa de 1.000€ que, tras ser reconocida y pagada voluntariamente, quedó reducida a 600€. Sin embargo, como recuerda la AEPD, el pago de la multa y
reconocimiento de la infracción no exime de la adopción de las medidas correctoras, debiendo así en el plazo de seis meses acreditar ante la AEPD que la comunidad ha implantado un protocolo HTTPS con certificado SSL/TLS y configurado una política segura de gestión de usuarios y contraseñas. Así, ante la falta de adopción de estas medidas, la AEPD podrá iniciar un procedimiento sancionador.
Con este caso podemos aprovechar para recordar puntos claves en protección de datos que no debemos olvidar en nuestro día a día:
- Un portal web con protocolo HTTP sin cifrar y con contraseñas compartidas es una infracción grave. Toda web debe contar con un protocolo HTTPS.
- Reconocer la infracción y pagar voluntariamente reduce la sanción, pero no exime de cumplir la obligación de corregir los fallos y adoptar las medidas de seguridad necesarias.
- El cumplimiento debe basarse en responsabilidad proactiva y enfoque de riesgos: cifrado, credenciales únicas, control de accesos, auditorías periódicas.
- Debe regularse la relación entre responsable del tratamiento y encargado del tratamiento conforme al artículo 28 RGPD, no significando esto que, la delegación en un encargado del tratamiento libere al responsable de sus obligaciones como responsable del tratamiento.
El mensaje de la AEPD es claro, delegar no significa desentenderse y la seguridad no es un mero trámite, sino una obligación legal y ética que empieza en lo más cotidiano: portales web y la gestión diaria de los datos.
Si quieres conocer más información relacionada con protección de datos relativa a comunidades de propietarios puedes visitar otras entradas de nuestro blog pinchando aquí y aquí
