La Agencia Española de Protección de Datos (AEPD) ha sancionado a una comunidad de propietarios tras la reclamación presentada por un vecino en diciembre de 2023 y una denuncia ante la Dirección General de la Policía.
Tal y como ha informado Diario SUR, el denunciante afirmaba que la administración de fincas incluía en las actas vecinales -repartidas en los buzones de propietarios e inquilinos- un usuario y contraseña para acceder al portal web de la comunidad.
Todos los residentes compartían las mismas credenciales de acceso a la web
En dicha página se podía consultar información personal de los vecinos, como nombre, apellidos, portal, impagos, cuentas bancarias y otros datos sensibles, además de documentos relacionados con la gestión de la comunidad.
El vecino también señaló que la web carecía de certificado SSL, por lo que no ofrecía conexión segura, y que todos los residentes compartían las mismas credenciales de acceso. Además, la contraseña podía ser modificada por cualquier usuario, dejando sin acceso al resto.
Lee tambiénUna mujer se queda sin piernas y brazos tras el brutal ataque de un perro
La comunidad, sin embargo, ha negado que se publicaran datos de carácter privado, salvo los necesarios para la gestión conforme a la Ley de Propiedad Horizontal (LPH). Aseguran que solo figuraba la cuenta bancaria de la comunidad y no la de los propietarios, y defienden que las notificaciones se realizaban mediante la entrega física en los buzones particulares, con plena validez legal.
Tras la investigación, la AEPD ha confirmado que el portal funcionaba bajo el protocolo HTTP, sin cifrado de datos, lo que supone una vulnerabilidad. Asimismo, el uso compartido de usuario y contraseña se consideró una “incorrecta política de credenciales”, constitutiva de infracción al artículo 32 del RGPD, que obliga al responsable del tratamiento a aplicar medidas técnicas y organizativas adecuadas. Finalmente, la AEPD ha impuesto una sanción de 1.000 euros, reducida a 600 tras aplicarse bonificaciones por pronto pago.