La seguridad al navegar por Internet no es solo cosa de usuarios particulares: empresas y profesionales también están en el punto de mira. Y cuando algo falla, las consecuencias pueden salpicar incluso a quienes menos lo esperan, como ha ocurrido en este caso, donde una sanción ha pasado del ámbito empresarial al particular.
Que se lo digan a esta comunidad de vecinos, a quienes la Agencia Española de Protección de Datos (AEPD) ha multado con 1.000 euros. ¿El motivo? La negligencia de la empresa administradora de fincas, que no gestionó correctamente la seguridad de su página web.
Sin protocolos de seguridad
Imagen Pixabay en Pexels
La AEPD ha impuesto esta sanción a la comunidad de propietarios por no proteger adecuadamente los datos personales de los vecinos. Y aunque el fallo técnico recaía en la web del administrador, la responsabilidad final —y la multa— terminó cayendo sobre los propios propietarios.
Tal y como relata la sentencia a la que se puede acceder desde este enlace, la sanción está motivada por el hecho que la página web gestionada por la administración de fincas no contaba con un certificado SSL ni utilizaba el protocolo HTTPS, lo que hacía que los datos se transmitieran sin cifrar y expuestos a posibles ciberataques.
Pero es que por si esto no fuese poco, además todos los vecinos accedían con el mismo usuario y contraseña, lo que supone una grave vulneración de las políticas de seguridad y contraseñas. Así lo expone la parte reclamante al afirmar que “la administración de fincas reclamada incluye en las actas vecinales que se reparten en los buzones de los residentes (sean propietarios o inquilinos), la web, usuario y contraseña para el acceso al portal web de la comunidad de vecinos. Asegura que en dicho portal web figuran datos de carácter personal de los propietarios: nombre, apellidos, portal de residencia, impagos, cuentas bancarias y otros datos sensibles). Esto se traducía en que todos los vecinos usaban el mismo usuario y contraseña, y cualquiera podía cambiarlos, dejando sin acceso al resto.
La AEPD inició la investigación tras la oportuna reclamación en la que se denunciaba que en la web se publicaban documentos con datos personales (nombres, direcciones, impagos, cuentas bancarias, etc.) sin medidas de protección adecuadas. Ante la reclamación la administradora respondió alegando que la comunidad de propietarios cuenta con un área de gestión documental accesible para todos los vecinos, pero aclaró que no contiene documentos de inmuebles privados ni datos personales distintos de los necesarios para la gestión legal prevista en la Ley de Propiedad Horizontal.
“en dicha área no se encuentran documentos correspondientes a ningún inmueble privado, ni datos personales de los propietarios que no sean los legalmente establecidos para la correcta gestión de las acciones de la comunidad de propietarios que se encuentran previstas en la Ley 49/60 de Propiedad Horizontal”…
Aunque la administradora de fincas alegó que solo se publicaban datos necesarios para la gestión comunitaria, la AEPD comprobó que la web era insegura (HTTP) y que la autenticación compartida imposibilitaba controlar accesos o detectar brechas.
Finalmente, la AEPD determinó que la responsable del tratamiento es la comunidad de propietarios, ya que decide los fines y medios del uso de los datos, siendo la administración de fincas únicamente encargada del tratamiento.
Además de la multa, que alcanzaba los 1.000 euros, la comunidad dispone de seis meses para corregir las deficiencias, implementar HTTPS y políticas seguras de contraseñas, y demostrar el cumplimiento del artículo 32 del RGPD, bajo advertencia de nuevas sanciones si no lo hace.
Imagen portada | Jorge Salvador
Foto de portada | Pixabay
Vía | Economist & Jurist
En Xataka SmartHome | Los pisos turísticos han cambiado y ya es obligatorio registrarlos. Esto es lo que hay que saber para evitar multas
–
La noticia
La AEPD castiga a estos vecinos con una sanción ejemplar: la culpa era de la página web de su administrador de fincas
fue publicada originalmente en
Xataka Smart Home
por
Jose Antonio Carmona
.