La Agencia Española de Protección de Datos se moja

Aprovechando que ya está aquí el buen tiempo, empiezan a abrirse las piscinas de las Comunidades de Propietarios, algunas de ellas tendrán socorristas/ vigilantes (contratados) otras no, alguna de ellas tendrán acceso limitado, otras no;  algunas de ellas pedirán el DNI para comprobar que realmente perteneces a la Comunidad de Propietarios para que la puedas disfrutar, otras no, y de esto va el post.

En relación de esto último, recientemente la Agencia Española de Protección de Datos, ha multado a una Comunidad de Propietarios con 6.000 € por pedir el DNI a los vecinos para poder acceder a la piscina comunitaria.  Os paso aquí el link para que veáis el proceso sancionador y recuerdo a mis clientes, que dentro de la plataforma ya esta colgada junto con el resto de procesos sancionadores  de la Agencia Española de Protección de Datos a las Comunidades de Propietarios.

Os pongo en situación:  La Junta Directiva de la Comunidad de Propietarios ordena la apertura de la piscina, con diferentes condiciones debido a la pandemia, una de ellas es que el guarda de seguridad controle las  medidas sanitarias y el aforo.  Para ello era  necesario que los vecinos mostrara el DNI si querían  acceder a la piscina, el vigilante lo apuntaba junto con otros datos en un folio (que estaba a la vista de todos), ya que el registro de acceso diario a la piscina podría ser requerido en cualquier momento por las autoridades sanitarias.

La idea parece buena e inocente.  Es una manera que tener un registro de las personas que acceden a la piscina en un día determinado y puede ayudar a las autoridades sanitarias para controlar posibles contactos.  Entonces ¿Qué es lo que está mal, y más en un estado de alerta sanitaria como la que se vivió?

Pues están mal dos cosas fundamentales en la protección de datos, y por ello multaron con 3.000 € una y otros 3.000 € la otra.

La primera es la siguiente: Uno de los pilares de la Protección de Datos para poder tratar datos de los usuarios es el consentimiento de este INFORMADO.  Junto al vigilante NO existía ningún documento en el cual INFORMASE, de la gestión que se iba a realizar con esos datos.

El artículo 13 del Reglamento General Europeo de Protección de Datos (RGPD), se indica que cuando se obtenga de un usuario sus datos, en ese momento se le facilitará  un seguido de información (que como es bastante extenso no lo voy a poner aquí) y esto no existía, por lo que el usuario estaba desprotegido de sus derechos.

Y la segunda es: la MINIMIZACIÓN DE LOS DATOS.  Para conseguir la finalidad que perseguía la comunidad, no era necesario que pusieran el nombre, apellidos, DNI, etc, simplemente, tal y como dice el proceso sancionador, sería suficiente con poner portal, piso y letra.

El articulo 5.1.c del RGPD explica que los datos personales recogidos serán adecuados, pertinentes y LIMITADOS a lo necesario en relación con los fines para los que son tratados.

Cada una de estas dos infracciones están catalogadas como infracciones MUY GRAVES, que por curiosidad, podrían haber subido la sanción hasta 20.000.000 €, si si, habéis visto bien, veinte millones de Euros.  Esto os lo comento para que veáis la envergadura de la infracción.

Por cierto, en el proceso sancionador indica que la Agencia Española de Protección de Datos, enviaron hasta tres notificaciones a la Comunidad de Propietarios sin que tuviera respuesta de ninguna de las tres y supongo que este fue otro motivo por el cual la AEPD impuso estas cantidades tan grandes.

Un Bri-consejo, insistir a las Comunidades de Propietarios que tengan el Certificado Digital, ya que la Agencia Española de Protección de Datos, también envía las notificaciones por vía telemática, y aunque les cueste una cantidad todos los años por ello, siempre será mucho más barato que le multen con, por ejemplo,  6.000 €

Deja una respuesta

Tu dirección de correo electrónico no será publicada.