Sancionada una comunidad de propietarios porque la página web que usa la administración de fincas para subir datos personales de los vecinos carece de seguridad

La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa administrativa de 1.000 euros a una comunidad de propietarios por no asegurar la seguridad en el tratamiento de datos personales de los comuneros.

Pues, la página web que usa la administración de fincas, y donde se recogen todas las comunicaciones que la comunidad de propietarios debe realizar a los propietarios, no es un sitio web seguro ni dispone de certificado SSL. Además, a ello se suma una incorrecta política de contraseñas y credenciales a un espacio en el que se contienen datos personales, ya que todos los vecinos utilizan el mismo usuario y contraseña.

Todos los vecinos accedían con el mismo usuario y contraseña a un espacio que contenía datos personales

La resolución de la AEPD (disponible en el botón ‘descargar resolución’) llega a raíz de que se interpusiera una reclamación ante dicho organismo por una posible infracción imputable a una comunidad de propietarios.

En dicha reclamación se ponía en conocimiento de la Agencia que la administración de fincas incluye actas vecinales que se reparten en los buzones de los residentes (sean propietarios o inquilinos), la web, usuario y contraseña para el acceso al portal web de la comunidad de vecinos.

Asimismo, la parte reclamante manifestaba que en dicho portal web figuran datos de carácter personal de los propietarios: nombre, apellidos, portal de residencia, impagos, cuentas bancarias y otros datos sensibles; y que había colgados documentos con datos personales de los comuneros y de la comunidad de propietarios, sin que dicha web dispusiera de certificado SSL.

Por otra parte, la reclamante señalaba que el usuario y contraseña de la web no disponía de la seguridad adecuada porque el mismo usuario y contraseña era compartida por todos los vecinos (era la misma para todos), pudiendo ser la contraseña modificada por un solo vecino, privando de acceso al resto.

Junto a la reclamación se aportaron una denuncia interpuesta ante la Policía denunciando los mismos hechos y capturas de pantalla de la página web del administrador en las que se observaba: que la navegación es not secure; que existe un acceso a una biblioteca de documentos descargables en los que se observan diversas categorías (como última actualización de cuentas, actas, área jurídica, certificados, circulares, consumos de gas, contratos, convocatorias, cuentas, división horizontal, incidencias, informes técnicos, nueva instalación de calefacción y ACS, obras, presupuestos, presupuestos obras); y los datos de acceso (usuario, email, nombre y opción de cambiar la contraseña).

(Imagen: E&J)

La página web no era segura, siendo susceptible de ser ciberatacada

La AEPD dio traslado de dicha reclamación a la administradora de fincas, quien a su vez respondió a este organismo afirmando que el envío de las convocatorias a las juntas, así como sus notificaciones, se realizaban mediante el envío de la documentación a los buzones particulares de los inmuebles y dirigidas al propietario.

Asimismo, la administradora confirmó a la AEPD que la comunidad de propietarios disponía de un área de gestión documental en la página web donde todos los propietarios disponían de información relativa  a la comunidad, pero que en dicha área no se encontraban documentos correspondientes a ningún inmueble privado ni datos personales de los propietarios que no sean legalmente establecidos para la correcta gestión de las acciones de la comunidad previstas en la Ley de Propiedad Horizontal (LPH), e igualmente, tampoco había datos de cuentas bancarias de los propietarios, sólo los datos de la propia cuenta de la comunidad.

La Agencia Española de Protección de Datos, por su parte, tras recibir contestación de la administradora, acordó admitir a trámite la reclamación y procedió a realizar actuaciones previas de investigación para esclarecer los hechos. Como consecuencia de dichas actuaciones realizadas se comprobó que, durante el acceso a la página web, el protocolo de transferencia de datos entre servidor y cliente utilizado en dicha web es el HTTP (HyperText Transfer Protocol), un protocolo de transferencia que no cifra los datos durante la comunicación cliente-servidor.

Por tanto, que la página web carece de un protocolo HTTPS (HyperText Transfer Protocol Secure), que aporta una capa de seguridad adicional gracias al cifrado SSL/TLS (Secure Sockets Layer/Transmission Layer Security). El uso de este protocolo (HTTPS) requiere la instalación de certificados SSL emitidos por empresas o entidades certificadoras.

Además, en el presente caso, la Agencia advirtió durante la comprobación efectuada una advertencia en el navegador utilizado que indicaba que el sitio web no era seguro. “Al hacer click en la advertencia, se indica que el sitio web no dispone de certificado”, indica la AEPD en la resolución.

(Imagen: E&J)

La política de contraseñas y credenciales no es la adecuada

De conformidad con las evidencias, para la Agencia Española de Protección de Datos, los hechos conocidos son constitutivos de una infracción por vulneración del artículo 32 del Reglamento General de Protección de Datos (RGPD).

Pues, el acceso mediante usuario y contraseña a la zona privada del sitio de internet utiliza un protocolo HTTP, lo que supone que el protocolo de transferencia de datos entre el servidor y el cliente utilizado en dicha página web es considerado inseguro, ya que no se cifran los datos durante la comunicación cliente-servidor, pudiendo estar sujeto a ataques del tipo man-in-the-middle y eavesdropping que permiten al atacante obtener acceso a información adicional.

En este sentido, la AEPD señala que, “para garantizar la seguridad de la página web, el protocolo a utilizar ha de ser HTTPS, el cual una capa de seguridad adicional, y el cual requiere la instalación de certificados SSL emitidos por empresas o entidades certificadoras”.

A ello se suma el hecho de que el acceso a la página web se realiza mediante la utilización del mismo usuario y contraseña para todos los propietarios de la comunidad, que se facilita en las actas de la comunidad de propietarios. Esta práctica pondría de manifiesto una incorrecta política de contraseñas y credenciales a un espacio en el que se contienen datos personales que dificultaría, por ejemplo, la detección y mitigación de una potencial brecha de datos personales.

(Imagen: E&J)

La comunidad de propietarios es sancionada con 1.000 euros

Ahora bien, aunque ha quedado acreditado que la página web de administración de fincas donde se recogen todas las comunicaciones que la comunidad de propietarios debe realizar a los propietarios, no es un sitio web seguro ni dispone de certificado SSL, la multa administrativa por vulnerar el artículo 32 del RGPD no ha sido impuesto a la administración, sino a la comunidad de propietarios.

Y ello por cuanto de acuerdo con lo establecido en el artículo 4.1 y 4.2 del RGPD, consta la realización de un tratamiento de datos personales, toda vez que “la comunidad de propietarios realiza, entre otros tratamientos, la recogida y conservación de datos personales de personas físicas: nombre y apellido, y dirección, entre otros”. Por tanto, en el presente supuesto, tiene la consideración de responsable del tratamiento de los datos la comunidad de propietarios en la medida en que es quien determina los fines y medios de tal actividad, en virtud del artículo 4.7 del RGPD, actuando como encargado del tratamiento la administradora de fincas.

En cuanto a la cuantía de la multa administrativa por la infracción cometida al vulnerar lo establecido en el artículo 32 RGPD, la Agencia Española de Protección de Datos ha fijado la misma en 1.000 euros.

Asimismo, además de la sanción económica, la Agencia también ha impuesto a la entidad responsable que, en un plazo de seis meses, adecúe su actuación a la normativa de protección de datos personales. Concretamente, debe “acreditar la adopción de las medidas necesarias para garantizar el cumplimiento de lo dispuesto en el artículo 32 del RGPD en particular respecto a la utilización de protocolos HTTPS, así como una adecuada implementación de políticas de gestión de usuarios y contraseñas”.

Para finalizar, la AEPD recuerda a la entidad responsable en la resolución que, desatender la posible orden de adopción de medidas impuestas por este organismo podría considerarse como una infracción administrativa y tal conducta podría tener como consecuencia la apertura de un ulterior procedimiento administrativo sancionador. La Agencia también recuerda que “ni el reconocimiento de la infracción cometida ni, en su caso, el pago voluntario de las cuantías propuestas, eximen de la obligación de adoptar las medidas pertinentes para que cese la conducta o se corrijan los efectos de la infracción cometida y la de acreditar ante esta AEPD el cumplimiento de esa obligación”.