MEDIDAS DE SEGURIDAD EXIGIDAS POR LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS (AEPD) EN PORTALES WEB DE COMUNIDADES

La Agencia Española de Protección de Datos (AEPD) ha sancionado recientemente a una comunidad de propietarios por deficiencias de seguridad en el portal web del administrador de fincas, utilizado para la gestión de la comunidad (PS-00322-2024:PULSA PARA ACCEDER) 

La sanción se ha impuesto porque el acceso al portal se realizaba sin protocolo seguro HTTPS y mediante usuario y contraseña comunes para todos los vecinos, credenciales que además se repartían en las actas. La AEPD considera que estas prácticas vulneran el artículo 32 del RGPD, que exige medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales. 

La comunidad de propietarios es responsable porque, aunque el portal web sea del administrador de fincas, es la comunidad quien determina los fines y medios del tratamiento de los datos personales; por ello, la AEPD le atribuye la obligación de garantizar la seguridad y el cumplimiento del RGPD, incluso cuando el tratamiento lo realiza el administrador por cuenta de la comunidad.

La multa inicial fue de 1.000 €, reducida a 600 € por reconocimiento de responsabilidad y pago voluntario, y se ha ordenado acreditar en seis meses la implantación de HTTPS y una política adecuada de gestión de usuarios y contraseñas.

Es fundamental que cada propietario disponga de credenciales individuales y nunca se publiquen ni compartan en convocatorias o actas. Recomendamos revisar la seguridad de los portales web gestionados, asegurando el uso de HTTPS y certificados válidos, y establecer sistemas de acceso individualizado para cada propietario. La correcta gestión de la protección de datos es una obligación legal y profesional, y su incumplimiento puede conllevar sanciones y medidas correctivas por parte de la AEPD.