Preguntas y respuestas
sobre protección de datos en comunidades de propietarios
Salvador Zotano
Delegado de Protección de Datos Certificado de Conformidad con el Esquema de Certificación nº 19-ADK0101.
MUY IMPORTANTE: A tener en cuenta.
Primero. La materia que estamos tratando se enmarca dentro de las denominadas “ciencias sociales”, esto es, no se basa en fórmulas como la ciencia matemática, ni en principios como la ciencia de la física, ni en elementos como la ciencia de la química.
Por lo tanto, muchas de las apreciaciones aquí contenidas están sujetas a la discusión, al cambio de pareceres, a la evolución de lo que la sociedad entiende como lícito o ilícito.
Segundo. No todas las respuestas valen para todas las situaciones ni todas las preguntas comprenden todas las cuestiones. Esto es, en muchas ocasiones, dependiendo de las circunstancias concretas, las respuestas se han de modular en función de distintas variables. Por eso esta obra no pretende dar respuesta a todo y bajo todo tipo de circunstancia. De hecho si se plantea cualquier tipo de cuestión en materia de protección de datos lo más aconsejable es comentarlo con el DPD Certificado que tengamos en nuestra organización que, con absoluta seguridad, analizará todos los pormenores del caso y dará la respuesta más adecuada.
Tercero. El continuo avance imparable de las tecnologías de la comunicación y la información, y qué decir de la IA, están cambiando, de forma continua, la realidad que nos rodea. La protección de datos está sometida a dichos cambios y, en consecuencia, las preguntas y respuestas deben ir evolucionando conforme evolucione el entorno donde se han planteado.
Cuarto. La jurisprudencia del Tribunal Supremo, como en lo que respecta a todos los Derechos Fundamentales, se irá abriendo paso conforme vayan llegando casos concretos, y las Sentencias del Tribunal Supremo irán generando seguridades, modificando planteamientos, alineando posiciones, avanzando, en definitiva, en la más adecuada forma de implementar la protección de datos como Derecho Fundamental. De hecho, muchas de las cuestiones sobre las que en este momentos polemizamos serán resueltas por la jurisprudencia en no mucho tiempo.
Quinto. La mayor parte del material y contenidos han sido completados con publicaciones realizadas por la Agencia Española de Protección de Datos (AEPD), el Instituto Nacional de Ciberseguridad (INCIBE) e Informes del Gabinete Jurídico de la AEPD; y actualizados por el que suscribe.
Preguntas y respuestas sobre protección de datos en comunidades de propietarios
El Reglamento protege los derechos y libertades fundamentales de las personas físicas y, en particular, su derecho a la protección de los datos personales.
Al tratarse de la protección de un derecho fundamental (art. 18 de la Constitución Española), están obligados a cumplir con la normativa de protección de datos todos los que traten datos de carácter personal con fines profesionales o comerciales.
En este sentido, tanto el administrador de fincas como la comunidad de propietarios son sujetos de Derecho obligados a cumplir con la normativa de protección de datos; la comunidad de propietarios como responsable del tratamiento y el administrador de fincas como encargado del tratamiento.
Así, en las comunidades de propietarios existe un tratamiento derivado de la gestión de la propia comunidad, que puede denominarse "gestión de la comunidad de propietarios" o "propietarios", en el que se incluyen los datos personales de los citados propietarios como pueden ser nombre, apellidos, dirección o correo electrónico.
Pueden existir, además, otro tipo de tratamientos como el de "videovigilancia" o "cámaras de seguridad".
Evidentemente, si se quiere girar los recibos de los comuneros a través de cuentas bancarias, también existirá un fichero donde aparezcan las cuentas bancarias de éstos.
Por tanto, y como indicamos al principio, al existir estos tratamientos debe cumplirse lo dispuesto en la normativa de protección de datos personales.
En principio no, aunque sea aconsejable, dado que es la mejor forma, como ya veremos, de cumplir con el principio de responsabilidad proactiva.
Ahora bien, si se trata de una administración de fincas que cuenta con un volumen importante de comunidades de propietarios, con un volumen alto de datos de carácter personal, sí que sería necesario.
También sería necesario si la administración de fincas cuenta con servicios adicionales como servicios jurídicos y servicios de intermediación inmobiliaria, entre otros.
En todo caso, es muy aconsejable que una Administración de Fincas tenga un DPD Certificado en base a lo establecido en el Considerando (81) RGPD, enlazado con lo establecido en el art. 32.3 RGPD y lo que determina el art. 42.1 RGPD. Y me explico.
Considerando (81) RGPD:
“Para garantizar el cumplimiento de las disposiciones del presente Reglamento respecto del tratamiento que lleve a cabo el encargado por cuenta del responsable, este, al encomendar actividades de tratamiento a un encargado, debe recurrir únicamente a encargados que ofrezcan suficientes garantías, en particular en lo que respecta a conocimientos especializados, fiabilidad y recursos, de cara a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del presente Reglamento, incluida la seguridad del tratamiento. La adhesión del encargado a un código de conducta aprobado o a un mecanismo de certificación aprobado puede servir de elemento para demostrar el cumplimiento de las obligaciones por parte del responsable (...).”
Artículo 32 RGPD:
1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
(...)
3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo (...)”.
Artículo 42.1 RGPD:
1. Los Estados miembros, las autoridades de control, el Comité y la Comisión promoverán, en particular a nivel de la Unión, la creación de mecanismos de certificación en materia de protección de datos y de sellos y marcas de protección de datos a fin de demostrar el cumplimiento de lo dispuesto en el presente Reglamento en las operaciones de tratamiento de los responsables y los encargados. Se tendrán en cuenta las necesidades específicas de las microempresas y las pequeñas y medianas empresas (...).”
Así pues, si el Responsable del Tratamiento (la Comunidad de Propietarios) debe elegir un Encargado del Tratamiento (el Administrador de Fincas) que ofrezca suficientes garantías, y prueba de que las ofrece es tener una certificación, sello o marca en materia de protección de datos, tener un DPD Certificado evidencia el cumplimiento con la normativa de protección de datos; así, por ejemplo la marca de certificación siguiente:
Marca del Esquema AEPD-DPD:
Salvador Zotano Sánchez (DPD Conforme Esquema Certificación 1.4 AEPD-DPD)
En el caso de que tengan contratado un administrador de fincas, éste actuará como encargado del tratamiento. Es decir, en este caso, se establece la siguiente relación: la comunidad es responsable de los tratamientos y el administrador actúa como encargado de los mismos.
Se trata, en todo caso, de una relación muy especial dado que el Administrador de Fincas desarrolla para la Comunidad de Propietarios una labor tan amplia que, de alguna manera, se ocupa de la práctica totalidad de asuntos que afectan a la comunidad.
Ambos deben someterse a la normativa de protección de datos, que establece al respecto una serie de obligaciones, entre las que podemos citar:
- La creación del/de los registro/s de actividades de tratamiento.
- Cumplir con el derecho de información.
- Atender los derechos de protección de datos.
- Determinar la legitimación de los tratamientos.
No, con la aplicación del Reglamento General de Protección de Datos (RGPD) ha desaparecido la obligación de inscribir ficheros en la Agencia Española de Protección de Datos.
No obstante, debe configurarse el registro de actividades de tratamiento tanto de la comunidad de propietarios como del administrador de fincas, con el contenido que dispone al respecto el artículo 30 del RGPD.
Dicho registro es de carácter interno, no debe comunicarse a la Agencia, si bien ésta puede requerirlo en cualquier momento.
Este tipo de acceso y obtención de copias por parte de los copropietarios responde a la finalidad de conocer y comprobar la correcta gestión de las cuentas de la comunidad, pudiendo dar acceso a información muy variada, tal como ocurre con la relativa a salarios, honorarios profesionales, facturas y contratos.
En la documentación de la comunidad de propietarios pueden encontrarse numerosas informaciones que incorporan datos personales, tales como datos identificativos y de contacto de los propietarios, números de sus cuentas corrientes, coeficientes de participación, consumos individuales, ingresos efectuados por los propietarios o deudas que estos mantengan con la comunidad, sentido del voto en la adopción de acuerdos, etcétera. Igualmente tendrá dicha consideración cualquier dato personal referido a los empleados que pudiera tener la comunidad de propietarios, como también la tendrán los datos relativos a honorarios de profesionales que abone la comunidad.
Ciñéndonos exclusivamente a los tratamientos de datos personales contenidos en los documentos que emplea la propia comunidad, estos pueden abarcar un amplio espectro de información personal relativa, incluso, a la vida privada y familiar de los afectados, así como a cualquier tipo de actividad desarrollada por una persona, como la referida a sus relaciones laborales o a su actividad económica o social.
La propia LPH habilita diversas comunicaciones de datos personales, que a efectos del RGPD se encontrarían legitimadas en base al cumplimiento de una obligación legal. Así, el artículo 16.2) regula cómo debe efectuarse la convocatoria de las juntas, disponiendo que la convocatoria contendrá una relación de los propietarios que no estén al corriente en el pago de las deudas vencidas a la comunidad y advertirá de la privación del derecho de voto si se dan los supuestos previstos en el artículo 15.2. Por su parte, el artículo 19 de la LPH prevé la remisión de las actas a los propietarios, señalando en su número segundo las menciones que deben contener, entre las que figuran diversos tipos de datos de carácter personal (que, en todo caso, serán los mínimos e imprescindibles).
Desde la óptica de la protección de los datos personales, debe señalarse que sin perjuicio de que puedan realizarse estas comunicaciones, se tiene que tener en consideración también los principios del RGPD, sobretodo el principio relativo a la minimización de datos.
En consecuencia, la comunicación de datos deberá limitarse a aquéllos que - en cada caso- resulten "adecuados, pertinentes y limitados" para el cumplimiento de la finalidad que legitima el acceso a los mismos, que en estos supuestos viene referido al control del buen gobierno de la comunidad.
Así, a título de ejemplo, no cumple el requisito de idoneidad la comunicación de los directorios con los datos de domicilio de los propietarios o sus números de cuenta corriente, ya que en nada contribuyen a la finalidad de control de la buena administración de la comunidad de propietarios. Igualmente, y en lo que se refiere a nóminas de los empleados de la comunidad, debe tenerse en cuenta que junto con la información referida a sus retribuciones, aparecerán otros datos, como el domicilio fiscal, la cuenta corriente en que se produzca los pagos e incluso datos especialmente protegidos referentes a salud o ideología, así como el descuento, en su caso, de la cuota sindical de los afiliados a un sindicato. Estos datos no resultan relevantes para la finalidad de control de la gestión de la comunidad de propietarios, por lo que la exhibición de dichos directorios o de las nóminas de personal resultará contraria al principio de proporcionalidad y, en consecuencia, darán lugar a una vulneración de la normativa de protección de datos, sin perjuicio de que se deba informar a los propietarios de las retribuciones satisfechas a los empleados, con el adecuado desglose de conceptos retributivos.
El artículo 20 e) de la LPH dispone que corresponde al administrador actuar, en su caso, como secretario de la Junta y custodiar a disposición de los titulares la documentación de la comunidad. Este artículo debe ser interpretado de conformidad con la normativa de protección de datos, de modo que no permite un acceso generalizado a toda la documentación obrante en los archivos de la comunidad que pueda contener datos personales, sino solamente a aquellos datos que sean estrictamente pertinentes, adecuados y limitados en relación con los fines para los que son tratados.
En consecuencia, fuera de los supuestos en los que expresamente la LPH obliga a la comunicación a otros propietarios de determinados datos personales, deberá examinarse en cada caso si el acceso a los documentos cumple el principio de proporcionalidad resultando idóneo, necesario y equilibrado para obtener la finalidad perseguida, según señala el Tribunal Constitucional. En otro caso, no procederá el acceso directo al documento.
Por otra parte, la finalidad del tratamiento no podrá ser otra que la que resulte de las previsiones de la LPH, no pudiendo utilizarse los datos para finalidades distintas de aquellas para las que los datos hubieran sido recogidos.
En cuanto a la obtención de copias, la LPH ordena en ocasiones la remisión de determinados documentos, mientras que en su artículo 20 se refiere a custodiar a disposición de los titulares la documentación de la comunidad. En el caso en que se considerase oportuno facilitar copia de la documentación, con las limitaciones derivadas de la aplicación de la normativa de protección de datos, deberán adoptarse las debidas medidas de seguridad y, especialmente, las relativas a la gestión y salida de soportes y documentos, y traslado de documentación. Además de contar, en todo caso, con una declaración responsable del peticionario por la que se hace responsable de la adecuada conservación de la documentación, de su tratamiento conforme a los fines especificados en la petición y de su destrucción una vez concluida la finalidad.
En lo que se refiere a nóminas de los empleados de la comunidad, debe tenerse en cuenta que junto con la información referida a sus retribuciones, aparecerán otros datos, como el domicilio fiscal, la cuenta corriente en que se produzca los pagos e incluso datos especialmente protegidos referentes a salud o ideología, así como el descuento, en su caso, de la cuota sindical de los afiliados a un sindicato.
Estos datos no resultan relevantes para la finalidad de control de la gestión de la comunidad de propietarios, por lo que la exhibición de dichos directorios o de las nóminas de personal resultará contraria al principio de proporcionalidad y, en consecuencia, darán lugar a una vulneración de la normativa de protección de datos, sin perjuicio de que se deba informar a los propietarios de las retribuciones satisfechas a los empleados, con el adecuado desglose de conceptos retributivos.
Para la instalación de videocámaras en las comunidades de vecinos, será necesario, con carácter previo a dicha instalación, el acuerdo de la Junta de Propietarios.
Las cámaras únicamente podrán instalarse en las zonas comunes de la propiedad, y no podrán captarse imágenes de la vía pública a excepción de una franja mínima de los accesos al inmueble.
Tampoco podrán captarse imágenes de terrenos y viviendas colindantes o de cualquier otro espacio ajeno.
En todo caso, deben tenerse en cuenta los documentos anexos 3, 4 y 5 (Ficha de la AEPD sobre videovigilancia en comunidades de propietarios, extracto de la Guía de la AEPD sobre los Administradores de Fincas referido a la videovigilnacia y cartel indicativo de que existe un sistema de videovigilancia).
El acceso a las imágenes estará restringido a las personas designadas por la comunidad de propietarios.
En ningún caso resultarán accesibles a los vecinos mediante canal de televisión comunitaria.
Si el acceso se realiza con conexión a internet, se restringirá con un código de usuario y una contraseña (o cualquier otro medio que garantice la identificación y autenticación unívoca), que sólo serán conocidos por las personas autorizadas a acceder a dichas imágenes.
Una vez instalado el sistema, se recomienda el cambio regular de la contraseña, evitando las fácilmente deducibles.
Es muy frecuente que una persona llame a una administración de fincas y se encuentre con varias opciones para poder hablar con distintos departamentos y, al inicio, una alocución que indica que la llamada puede ser grabada al objeto de ofrecer un servicio de calidad.
En estos casos hay que decir que, necesariamente, hemos de aplicar la normativa de protección de datos.
Esto es, al darse la circunstancia de que la llamada puede ser grabada y que la persona que llame puede dar datos de carácter personal, como son su nombre y apellidos, dirección postal, número de teléfono, y cualesquiera otros; hemos de tenerlo presente para aplicar medidas de carácter técnico y organizativo para cumplir con la normativa de protección de datos.
Lo conveniente es ofrecer la posibilidad de marcar una de las opciones para acceder a la política de protección de datos y en ella detallar:
- El nombre del responsable del tratamiento.
- La finalidad por la que la llamada puede ser grabada.
- Cuáles son los derechos y cómo pueden ser ejercidos.
Además, y con independencia de lo anterior, previamente a la puesta en marcha del servicio se ha de realizar el oportuno análisis de riesgos y el registro de actividades de tratamiento específico.
En general, para el uso de sistemas de comunicación vía Smartphone que no se reduzcan al ámbito familiar, doméstico o de amistad, se requiere para incorporar personas a los mismos el consentimiento.
Recordemos que tal consentimiento tiene que ser, como todo consentimiento en materia de protección de datos, toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le concierne.
Lo cierto es que cada vez es más frecuente encontrar modelos de vehículos que tienen incorporados sistemas internos de grabación de imágenes en prevención de que se produzcan accidentes o robos, tanto del vehículo como en el interior de los mismos. Son las denominadas cámaras “on board”.
En estos casos hemos de decir que al grabarse imágenes, y al considerarse las imágenes datos de carácter personal, toda grabación es un tratamiento de datos.
Por lo tanto hemos de tomar todas las medidas necesarias:
- Contar con el visto bueno de la Junta de Propietarios.
- Indicar la existencia del sistema de grabación mediante carteles.
- Realizar un Registro de Actividades de Tratamiento específico.
- Estudiar la legitimidad y los riesgos asociados.
- Y el resto de medidas complementarias.
En el anexo 6 podrá encontrar el Informe Jurídico de la AEPD sobre cámaras on-board:
No. La normativa de protección de datos no es de aplicación cuando se trate de tratamientos mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas, como ocurre, por ejemplo, cuando el tratamiento sea efectuado a través de videoporteros.
Sin embargo, sí será de aplicación cuando el servicio se articule mediante procedimientos que reproducen y/o graban imágenes de modo constante, y resultan accesibles -ya sea a través de Internet o mediante emisiones por la televisión de los vecinos-, y en particular cuando el objeto de las mismas alcance al conjunto del patio y/o a la vía pública colindante.
En consecuencia, cuando una cámara permite reproducir en tiempo real las imágenes que concurren en la portería de un edificio, su actuación excede con mucho del ámbito personal y doméstico, por lo que implica un tratamiento de datos de carácter personal, sujeto a la normativa de protección de datos.
Para poder tomar imágenes es preciso contar con todo lo indicado respecto al tema de la videovigilancia:
- Contar con el visto bueno de la Junta de Propietarios.
- Indicar la existencia del sistema de grabación mediante carteles.
- Realizar un Registro de Actividades de Tratamiento específico.
- Estudiar la legitimidad y los riesgos asociados.
- Y el resto de medidas complementarias.
Cuestión similar para prevenir cualquier otro tipo de acto de vandalismo practicado contra instalaciones y bienes de la Comunidad de Propietarios. Esto es, tomar las medidas previas anteriormente enumeradas, en resumen: aprobarlo la Junta de Propietarios y determinar los fines, todo ello con apoyo documental.
Además del derecho de información, el RGPD permite que los afectados puedan ejercitar los derechos de acceso, rectificación, supresión ("derecho al olvido"), oposición, portabilidad, limitación del tratamiento, y derecho de oposición a las decisiones individuales automatizadas (incluyendo la elaboración de perfiles).
Estos derechos se ejercitarán ante el responsable del tratamiento. También es posible ejercitarlos en los casos de que existiese un encargado de tratamiento ante éste, siempre y cuando el responsable y dicho encargado así lo hubiesen convenido.
Si la entidad tiene nombrado un DPD, también se pueden ejercer ante el DPD (de hecho, lo más adecuado es que se ejerzan ante el DPD; motivo por el cual se hacen públicos los datos de contacto de éste).
Cuando se ejercitan estos derechos, el responsable del tratamiento debe responder en el plazo de un mes a partir de la recepción de la solicitud.
Dicho plazo podrá prorrogarse otros dos meses en caso necesario, teniendo en cuenta la complejidad y el número de solicitudes.
Si se prorrogase, el responsable informará al afectado de dichas prórrogas en el plazo de un mes a partir de la recepción de la solicitud, indicando los motivos de la dilación.
Tanto la información que se facilite en virtud de los artículos 13 y 14 del RPGD (derecho de información) como toda comunicación en virtud de los artículos 15 a 22 (derechos de los afectados) y 34 (comunicación de brechas de seguridad) serán a título gratuito.
No obstante, cuando las solicitudes sean manifiestamente infundadas o excesivas, especialmente debido a su carácter repetitivo, el responsable del tratamiento podrá:
- a. cobrar un canon razonable en función de los costes administrativos afrontados para facilitar la información o la comunicación o realizar la actuación solicitada.
- b. negarse a actuar respecto de la solicitud.
En el caso del derecho de acceso, se podrá considerar repetitivo su ejercicio cuando se produzca en más de una ocasión durante el plazo de seis meses, a menos que exista causa legítima para ello.
En todo caso, el responsable del tratamiento soportará la carga de demostrar el carácter manifiestamente infundado o excesivo de la solicitud.
El afectado tendrá derecho a obtener del responsable del tratamiento confirmación de si se están tratando o no datos personales que le conciernen.
Si se estuviesen tratando sus datos personales, tiene derecho a que el responsable le facilite lo siguiente:
- a. los fines del tratamiento;
- b. las categorías de datos personales de que se trate;
- c. los destinatarios o las categorías de destinatarios a los que se comunicaron o serán comunicados los datos personales, en particular destinatarios en terceros u organizaciones internacionales;
- d. de ser posible, el plazo previsto de conservación de los datos personales o, de no ser posible, los criterios utilizados para determinar este plazo;
- e. la existencia del derecho a solicitar del responsable la rectificación o supresión de datos personales o la limitación del tratamiento de datos personales relativos al interesado, o a oponerse a dicho tratamiento;
- f. el derecho a presentar una reclamación ante una autoridad de control;
- g. cuando los datos personales no se hayan obtenido del interesado, cualquier información disponible sobre su origen;
- h. la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado.
- i. cuando se transfieran datos personales a un tercer país o a una organización internacional, el interesado tendrá derecho a ser informado de las garantías adecuadas en virtud del artículo 46 relativas a la transferencia.
Además, el responsable del tratamiento facilitará una copia de los datos personales objeto de tratamiento, sin afectar negativamente a los derechos y libertades de otros.
Por otra parte, el responsable podrá percibir por cualquier otra copia solicitada por el interesado un canon razonable basado en los costes administrativos.
Cuando el interesado presente la solicitud por medios electrónicos, y a menos que este solicite que se facilite de otro modo, la información se facilitará en un formato electrónico de uso común.
Mediante el ejercicio de este derecho, el afectado tendrá derecho a obtener sin dilación indebida del responsable del tratamiento la rectificación de los datos personales inexactos que le conciernan.
Teniendo en cuenta los fines del tratamiento, el interesado tendrá derecho a que se completen los datos personales que sean incompletos, inclusive mediante una declaración adicional.
Es el derecho del afectado a obtener sin dilación indebida del responsable del tratamiento la supresión de los datos personales que le conciernan, el cual estará obligado a suprimir sin dilación indebida los datos personales cuando concurra alguna de las circunstancias siguientes:
- a. los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;
- b. el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y este no se base en otro fundamento jurídico;
- c. el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2;
- d. los datos personales hayan sido tratados ilícitamente;
- e. los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento;
- f. los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1.
Asimismo, cuando se hayan hecho públicos los datos personales y conforme a los supuestos descritos anteriormente proceda la supresión, el responsable del tratamiento, teniendo en cuenta la tecnología disponible y el coste de su aplicación, adoptará medidas razonables, incluidas medidas técnicas, con miras a informar a los responsables que estén tratando los datos personales de la solicitud del interesado de supresión de cualquier enlace a esos datos personales, o cualquier copia o réplica de los mismos.
No obstante lo anterior, no se aplicará la supresión cuando el tratamiento sea necesario:
- a. para ejercer el derecho a la libertad de expresión e información;
- b. para el cumplimiento de una obligación legal que requiera el tratamiento de datos impuesta por el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento, o para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable;
- c. por razones de interés público en el ámbito de la salud pública de conformidad con el artículo 9, apartado 2, letras h) e i), y apartado 3;
- d. con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, en la medida en que el derecho indicado en el apartado 1 pudiera hacer imposible u obstaculizar gravemente el logro de los objetivos de dicho tratamiento,
- e. para la formulación, el ejercicio o la defensa de reclamaciones.
Este derecho se configura en una doble vertiente. En primer lugar, cuando se ejercitan los derechos de rectificación u oposición, supone una "suspensión cautelar del tratamiento de los datos". De esta forma, si el afectado ha impugnado la exactitud de los datos, durante el plazo que permita al responsable verificar la exactitud de los mismos, se limita el tratamiento de dichos datos. Igualmente se produce esta limitación, cuando el interesado se haya opuesto en virtud del artículo 21.1 del RGPD, mientras se verifican si los motivos legítimos del responsable prevalecen sobre los del afectado.
En segundo lugar, este derecho de limitación se aplicará en los siguientes supuestos:
- Cuando el tratamiento sea ilícito y el interesado se oponga a la supresión de los datos personales y solicite en su lugar la limitación de su uso;
- Cuando el responsable ya no necesite los datos personales para los fines del tratamiento, pero el afectado los necesite para la formulación, el ejercicio o defensa de reclamaciones.
Es el derecho del afectado a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado.
En este sentido, el interesado tendrá derecho a que los datos personales se transmitan directamente de responsable a responsable cuando sea técnicamente posible.
No obstante, este derecho se aplicará cuando:
- a. el tratamiento esté basado en el consentimiento o en la ejecución de un contrato.
- b. el tratamiento se efectúe por medios automatizados.
Este derecho incluye los datos facilitados por el afectado cuando han sido «facilitados por» el afectado de manera consciente y activa, por ejemplo, datos de una cuenta (como dirección postal, nombre de usuario, edad) enviados a través de formularios en línea, pero también cuando se generan y recopilan a partir de actividades de los usuarios, mediante el uso del servicio o del dispositivo.
Por el contrario, los datos personales que se obtienen o deducen de los datos facilitados por el afectado, como un perfil de usuario creado por el análisis de datos en bruto por un sistema de medición inteligente, quedan excluidos del ámbito de aplicación del derecho a la portabilidad de los datos, ya que no han sido facilitados por el interesado, sino creados por el responsable del tratamiento.
Asimismo, el ejercicio de este nuevo derecho no debería afectar negativamente a los derechos y libertades de terceros. Por ejemplo, si el conjunto de datos transferido a petición del interesado contiene datos personales relativos a otras personas, el nuevo responsable del tratamiento debe tratarlos únicamente si existe un fundamento jurídico adecuado para ello. Normalmente, el tratamiento de datos bajo el control único del afectado, como parte de actividades puramente personales o domésticas, se considerará adecuado.
El 28 de junio de 2.023 se publicó en el B.O.E. por parte de la AEPD la Circular 1/2023, sobre el derecho de los usuarios a no recibir llamadas no solicitadas, fijando los criterios de aplicación en relación con el art. 66.1.b) de la Ley 11/2022 General de Telecomunicaciones.
Este artículo es aplicable desde el 29 de junio y recoge el derecho de los usuarios a no recibir llamadas con fines de comunicación comercial no solicitadas, salvo que exista consentimiento previo del propio usuario para recibir este tipo de comunicaciones o que puedan estar amparadas en otra base de legitimación tal y como recoge el RGPD, por lo que no limita exclusivamente la realización de llamadas con fines de comunicación comercial al consentimiento.
A partir del 29 de junio de 2023, los usuarios podrán recibir llamadas comerciales si han dado previamente su consentimiento o si la empresa que realiza las llamadas puede justificar que su interés legítimo prevalece sobre el derecho de los usuarios a no recibirlas y estos no han ejercido su derecho a oposición.
La Circular indica que para que la empresa pueda justificar su interés legítimo, el usuario debe haber tenido una relación previa con ella habiendo adquirido sus productos o servicios y, además, los productos ofrecidos por la empresa deben ser similares a los que se hubieran contratado con anterioridad. Esta posibilidad solo se refiere a las llamadas de la misma empresa con la que se hubiera tenido relación y no a otras entidades, aunque pertenezcan a su mismo grupo empresarial. Además, si la relación contractual ya no está en vigor y el usuario no ha realizado ninguna otra solicitud o interacción con la empresa durante el último año, no podrá realizar las llamadas.
En cuanto a las llamadas comerciales realizadas a números generados de forma aleatoria, solo podrán realizarse con el consentimiento previo del usuario.
En este caso, dado que prevalece el derecho de los usuarios, la empresa no podrá realizar llamadas amparándose en un interés legítimo.
A continuación, indico los puntos más relevantes de la Circular:
- El consentimiento expreso deberá prestarse de acuerdo al RGPD y la LOPD GDD.
- Interés legítimo del responsable. Se mantiene la obligación de realizar, con carácter previo al inicio del tratamiento y atendiendo a las distintas categorías de afectados, la correspondiente ponderación de los derechos e intereses en conflicto.
- Garantías adicionales. El art. 6 LGT introduce garantías adicionales para el adecuado cumplimiento de los principios de lealtad y transparencia, así como el principio de responsabilidad proactivas contemplados en el art. 5 del RGPD.
La imagen es un dato de carácter personal ya que identifica o hace identificable a una persona. En este sentido, la instalación de cámaras, con diversas finalidades como podría ser la seguridad, el control laboral, el acceso a zonas restringidas captando la matrícula del coche y la imagen del conductor, o incluso la monitorización de una UVI, supondría un tratamiento de datos de carácter personal y en consecuencia, se le aplicaría la normativa de protección de datos.
En cuanto a los requisitos, descargar los siguientes anexos:
En primer lugar, la videovigilancia sólo debe utilizarse cuando no sea posible acudir a otros medios que causen menos impacto en la privacidad.
Además, no se podrá captar imágenes de la vía pública con fines de seguridad, ya que es competencia de las Fuerzas y Cuerpos de Seguridad, salvo el caso que:
- Resulte imprescindible para la finalidad que se pretende.
- Resulte imposible evitarlo por razón de la ubicación de las cámaras.
En todo caso, deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida. Está prohibida la instalación en baños, vestuarios, o lugares análogos.
Por otra parte, el tratamiento de las imágenes con fines de seguridad mediante la videovigilancia debe adecuarse al RGPD, de manera que en primer lugar, hay que configurar el registro de actividades de tratamiento regulado en el artículo 30 del RGPD.
Asimismo, se tiene que dar cumplimiento al derecho de información del artículo 13. Para ello se puede optar por un sistema de capas de la siguiente forma:
- Colocar un cartel donde aparezca que es una zona videovigilada, la identidad del responsable y la posibilidad del ejercicio de los derechos previstos en los artículos 15 a 22 del RGPD.
- Mantener a disposición de los afectados el resto de información referida en el artículo 13.
También se deberán adoptar las medidas de seguridad, teniendo en cuenta lo siguiente: El artículo 32 del RGPD determina que se establezcan las medidas técnicas y organizativas apropiadas para garantizar el nivel de seguridad adecuado al riesgo.
Por otra parte, lo previsto en el Esquema Nacional de Seguridad es aplicable a cualquier información de las Administraciones Públicas sin distinción del soporte en el que se encuentre, por lo que en cuanto a las medidas de seguridad se refiere, este esquema es acorde al enfoque de riesgo del RGPD y se constituye en una herramienta válida para la gestión del riesgo y la adopción de las medidas de seguridad en las citadas Administraciones. Por tanto, la implementación de las medidas de seguridad cuando se lleve a cabo un tratamiento de datos mediante el uso de la videovigilancia dependerá del análisis de riesgo llevado a cabo previamente.
No obstante, cuándo se trate de tratamientos de videovigilancia que entrañen un escaso riesgo, como podría ser el caso de uso en comunidades de propietarios o pequeños establecimientos, puede utilizarse la herramienta de la AEPD denominada FACILITA_RGPD.
Por otra parte, si se encarga a un tercero la gestión de las cámaras, estaremos ante la figura del encargado del tratamiento, quién deberá cumplir los requisitos que regula el artículo 28 del RGPD.
La información se completa con los anexos 3, 4 y 5 que pueden ser descargados a continuación:
La captación y grabación de imágenes de la vía pública con fines de seguridad es una función reservada a las Fuerzas y Cuerpos de Seguridad. Únicamente se permitirá la grabación de aquel espacio de la vía pública que resulte imprescindible para la finalidad que se pretende, o resulte imposible evitarlo por razón de la ubicación de las cámaras.
En todo caso, deberá evitarse cualquier tratamiento de datos innecesario para la finalidad perseguida.
El principio de minimización del artículo 5 del RGPD requiere que los datos personales tratados sean adecuados, pertinentes y limitados en relación con los fines para los que son tratados.
Así, en el ámbito de la videovigilancia, este principio supone:
- Que el número de cámaras se limite a las necesarias para cumplir la función de vigilancia.
- Que el responsable analice también los requisitos técnicos de las cámaras, ya que el zoom o las denominadas "cámaras domo" pueden afectar y limitar al citado principio de minimización.
Asimismo, los monitores de grabación deben situarse de forma que, en la medida de lo posible, únicamente puedan ser visualizados por aquellos cuya función sea controlar los equipos que realizan las grabaciones, y no estar expuestos al público.
Para más información descargue los siguientes anexos:
En aquellos supuestos en que las cámaras no graban imágenes pero sí se permite la reproducción en tiempo real de las mismas, también supone un sometimiento a lo dispuesto en el RGPD, debido a que existe un tratamiento de datos personales. De esta forma, hay que cumplir con la citada norma.
Entre las obligaciones que hay que adoptar estarían, por ejemplo, lo referente tanto al registro de actividades de tratamiento como el derecho de información, a los que nos hemos referido anteriormente.
Al tratarse de cámaras simuladas, no captarían imágenes de personas físicas identificadas o identificables, por lo que, al no quedar acreditada la existencia de un tratamiento de datos personales, la cuestión se encuentra al margen de la normativa de protección de datos.
Según la Ley de Propiedad Horizontal será necesario, con carácter previo a dicha instalación, el acuerdo de la Junta de Propietarios.
Asimismo, las cámaras únicamente podrán instalarse en las zonas comunes de la propiedad, y no podrán captarse imágenes de la vía pública a excepción de una franja mínima de los accesos al inmueble.
Tampoco podrán captarse imágenes de terrenos y viviendas colindantes o de cualquier otro espacio ajeno.
Para más información descargue los siguientes anexos:
Las imágenes captadas por las cámaras se limitarán exclusivamente a la plaza de aparcamiento de la que sea titular el responsable del sistema y a una franja mínima de las zonas comunes que no sea posible evitar captar para la vigilancia de la plaza de garaje, previa autorización de la Junta de Propietarios que deberá constar en el acta correspondiente.
Por lo demás, y en líneas generales, la instalación de una cámara en una plaza de garaje está sometida a la normativa de protección de datos y, por lo tanto, tiene que cumplir con lo mismo que los sistemas de videovigilancia de las comunidades de propietarios.
Para más información descargue los siguientes anexos:
Estamos ante un caso muy frecuente, la solicitud de documentos por parte de un comunero.
Hay que tener en cuenta que el art. 5.1.f) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales, establece que los datos deberán ser “tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).”
Por lo que la comunicación de datos deberá limitarse a aquellos que, en cada caso, resulten “adecuados, pertinentes y limitados” para el cumplimiento de la finalidad que legitima el acceso a los mismos, que en estos supuestos viene referido al buen gobierno de la comunidad y a su control, por tanto no se permite un acceso generalizado a la documentación de la comunidad de propietarios.
Si bien es cierto que el derecho a la protección de los datos personales no es absoluto (Considerando 4 del RGPD), como todo derecho fundamental, el TC ha establecido en numerosas Sentencias la necesidad de sometimiento al principio de proporcionalidad cuando entre en colisión con otro principio, el de información como es el caso.
Siendo el Administrador de Fincas aquel sobre el que recae la custodia de los documentos de la Comunidad, sólo podrá entregar copia de los mismos, por imperativo legal, al Presidente de la Comunidad.
Entregar una copia de una gran cantidad de información a un comunero parece abiertamente contrario al principio de proporcionalidad antes indicado y a la normativa de protección de datos.
Si, como es el caso, los datos son solicitados por un comunero, podrá éste consultar los documentos en las oficinas del Administrador de Fincas.
En todo caso, para entregar cualquier tipo de documento que el Administrador de Fincas tenga bajo su custodia, deberá contar con la firma de un documento de Declaración Responsable en el que se indique claramente la finalidad para la que se van a usar los datos y la asunción responsabilidad para el caso de pérdida o mal uso de los datos entregados.
Para mayor abundamiento, en el documento publicado por la AEPD en su página web bajo el epígrafe “¿Puede tener acceso un propietario a los gastos de su comunidad?”, dentro del apartado de “preguntas frecuentes”, en el punto “9. Comunidades de Propietarios”, se nos dice:
“Este tipo de acceso y obtención de copias por parte de los copropietarios responde a la finalidad de conocer y comprobar la correcta gestión de las cuentas de la comunidad, pudiendo dar acceso a información muy variada, tal como ocurre con la relativa a salarios, honorarios profesionales, facturas y contratos.
(...) En consecuencia, fuera de los supuestos en los que expresamente la LPH obliga a la comunicación a otros propietarios de determinados datos personales, deberá examinarse en cada caso si el acceso a los documentos cumple el principio de proporcionalidad resultando idóneo, necesario y equilibrado para obtener la finalidad perseguida, según señala el Tribunal Constitucional. En otro caso, no procederá el acceso directo al documento.
Por otra parte, la finalidad del tratamiento no podrá ser otra que la que resulte de las previsiones de la LPH, no pudiendo utilizarse los datos para finalidades distintas de aquellas para las que los datos hubieran sido recogidos.”
La sentencia de la Audiencia de Granada 155/2007, de 20-4, dice que:
- Los órganos de la comunidad son los encargados de velar por los intereses generales de ésta.
- El comunero no tiene las funciones de un auditor (Tribunal Supremo, sentencia de 28-2-2005).
- El derecho del comunero a tener información de la documentación comunitaria no consiste en ver lo que quiera sin fines concretos. Los propietarios sólo tienen derecho a examinar la documentación en el lugar donde esté a su disposición y a obtener copia según las circunstancias.
La sentencia de la Audiencia de Tenerife de 13-5-2000 dice que la petición de información de los propietarios debe estar relacionada con la intervención y el voto en una junta. Es decir: tienen derecho a estar informados de lo que se va a tratar en ella.
La sentencia de la Audiencia de Madrid de 17-11-2003 justifica los límites del derecho de información del comunero en que éste no puede sustituir a la junta de la comunidad. El control y la fiscalización del administrador deben ejercerlos la junta y el presidente, incluso a petición de un propietario, pero no éste.
La sentencia 472/2013 de la Audiencia de Las Palmas, Sección 3a, reconoce el derecho de información de los comuneros como medio para conocer el funcionamiento de la comunidad y ejercer mecanismos de control. Sin embargo no existe un derecho abstracto de información sino en función de finalidades concretas: votar en la junta o impugnar acuerdos. No hay un derecho de información autónomo del comunero para fiscalizar las cuentas de su comunidad ni un genérico derecho de consulta de la documentación contable.
En ningún caso se pueden poner listados de morosos, y menos en un tablón de anuncios que puede ser visto por cualquier persona.
En el caso concreto de expedientes de morosidad que están judicializados para cumplir el trámite de comunicación previa en los casos en los que deviene imposible poder notificar al interesado se podría utilizar el tablón de anuncios siempre que éste no esté en un lugar de paso de personas ajenas a la comunidad de propietarios y durante el mínimo tiempo posible.
En este caso, hay que tener presente que no se debe poner en el tablón de anuncios si existe una alternativa menos lesiva para los derechos de los interesados; una de esas alternativas puede ser mandarles un sms o un email certificado a través de una de las distintas entidades que tienen ese servicio.
Con la contratación de uno de los tres servicios que ofrece fincatech, protección de datos, CAE o certificados digitales, tienes la posibilidad de enviar emails y sms certificados de manera gratuita.
El Presidente de la comunidad de propietarios tiene la posibilidad de conocer todo lo que ocurre en la comunidad y tiene acceso, como así lo determina la ley, a toda la información que precise.
Aun así, no estaría de más que firmase una Declaración Responsable de retirada de documentación en los casos en los que consideremos que la documentación que se le entrega es especialmente sensible desde el punto de vista de la protección de datos.
El resto de comuneros, vicepresidente incluido, está sometido a las normas generales sobre entrega de documentación comentada en la pregunta correspondiente.
Aquí hay que tener en cuenta una serie de cuestiones:
- a) El Censor de Cuentas se supone que es un profesional sujeto a secreto profesional en sus actuaciones.
- b) Los contratos de la comunidad estarán suscritos con entidades mercantiles o con profesionales individuales prestadores de servicios, ninguno de los cuales, en el ejercicio de sus profesiones, está sujeto a la normativa de protección de datos.
Así pues, sí, se les puede entregar los contratos de la comunidad de propietarios a un censor de cuentas, firmando, eso sí, con anterioridad a la entrega un documento, que puede ser, por ejemplo, una declaración responsable.
No, en ningún caso.
Y en el caso de que se autorice la grabación de la junta de propietarios por todos los asistentes, dicha grabación no se puede usar más que para la finalidad para la que ha sido tomada: redactar el acta.
No, en ningún caso. Los sistemas de videovigilancia deben instalarse siguiendo la normativa de protección de datos (Cfr. la ficha para la instalación de sistema de videovigilancia en las comunidades de propietarios, entre otros documentos).
Un vecino no puede grabar por su cuenta a quien quiera para poder usarlo en su contra si no se cumplen con las garantías con las que debe cumplir la instalación de un sistema de videovigilancia.
Las expresadas en la ficha de videovigilancia en comunidades de propietarios editada por la AEPD y las que aparecen en la guía para Administradores de Fincas.
Para más información descargue los siguientes anexos:
Los aprobados por la AEPD. Aunque es suficiente con colocar un cartel en cada una de las entradas de acceso a la comunidad, es recomendable instalar también un cartel bajo cada una de las cámaras.
Mediante la firma de contratos de cesión de datos entre los distintos administradores se puede resolver jurídicamente la entrega de documentación común entre ellos (Cfr. Anexo 2).
Resuelto ese tema, no hay problema en que compartan información.
Evidentemente se le puede entregar documentación sobre la cuota que paga y si existe algún acuerdo prohibiendo las viviendas vacacionales, siempre y cuando, con anterioridad a la entrega de la documentación, firmen una declaración responsable o documento jurídico similar.
Lo que, en ningún caso, se les puede entregar es información sobre las deudas de los propietarios.
Todas las entidades, Comunidades de Propietarios y Administradores de Fincas incluidos, están obligados a cumplir con el Reglamento General de Protección de Datos. Y, evidentemente cumplir con esa obligación tiene un coste económico tanto para el Administrador de Fincas como para las Comunidades de Propietarios. De hecho, la mejor forma de demostrar una Comunidad de Propietarios que se ha preocupado por cumplir con la normativa de protección de datos es, precisamente, la factura de dichos servicios.
- Ocurre, además, que la nueva normativa de protección de datos establece que no basta con implantar la normativa sino que hay que mantenerla actualizada permanentemente; por aplicación del principio de responsabilidad proactiva: el Responsable y el Encargado del Tratamiento tiene que cumplir la normativa y, además, poder demostrarlo.
- En la Guía de Administradores de Fincas publicada por la Agencia Española de Protección de Datos se dice en el apartado 5 que: “Las principales obligaciones establecidas por la normativa de protección de datos recaen sobre el responsable del tratamiento, si bien los administradores de fincas, tanto en el ámbito de su función de asesoramiento y representación de las comunidades de propietarios, como actuando como encargados del tratamiento, deberán facilitar su cumplimiento y participar del mismo.” Esto es, tanto el Responsable del Tratamiento, la Comunidad de Propietarios, como el Encargado del Tratamiento, el Administrador de Fincas, deben facilitar y participar en el cumplimiento de la normativa de protección de datos.
- A su vez, el art. 32.1. del RGPD establece que: “Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo”. Esto es, tanto el Responsable del Tratamiento, la Comunidad de Propietarios, como el Encargado del Tratamiento, el Administrador de Fincas, están obligados a aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo que, en último término, proteja los derechos y libertades de los interesados.
- Una vez acreditado que tanto el responsable del tratamiento, la Comunidad de Propietarios, como quien por encargo de esta se ocupa de la gestión de los asuntos ordinarios, el Administrador de Fincas, están obligados a cumplir con el RGPD; se plantea la cuestión de cómo, de qué forma, se puede cumplir con la ley con las mejores garantías. Pues bien, tal y como establece la guía para responsables del tratamiento (Comunidades de Propietarios incluidas) la mejor forma de cumplir con el principio de responsabilidad proactiva es nombrando un Delegado de Protección de Datos.
- Ahora bien, como, de facto, quien realiza los tratamientos no es la Comunidad de Propietarios, sino el Administrador de Fincas, quien ha de nombrar al Delegado de Protección de Datos es el Administrador de Fincas; y lo hace para poder tratar los datos de cada una de las Comunidades de Propietarios a las que presta servicio dado que cada tratamiento deber ser independiente e individualizado.
Así pues,
- El Responsable del Tratamiento es la Comunidad de Propietarios.
- El Encargado del Tratamiento es el Administrador de Fincas.
- Obligación de cumplir con la Ley la tienen tanto el Responsable del Tratamiento como el Encargado del Tratamiento.
- La aplicación de la normativa de protección de datos no es un acto puntual, sino que por aplicación del principio de responsabilidad proactiva, se ha de extender en el tiempo: mientras haya tratamiento de datos de carácter personal se debe cumplir con la normativa.
- La mejor forma de cumplir con la Ley es nombrar un Delegado de Protección de Datos.
En resumen:
1. La nueva normativa de protección de datos obliga a aplicar el principio de responsabilidad proactiva cuando tratamos datos personales (arts. 5.2 y 24 RGPD).
2. Eso obliga a implantar la protección de datos y actualizarla de forma constante y, además, poder demostrar que lo hacemos.
3. Por esto tenemos que tener una factura de protección de datos todos los años para poder hacer ver que estamos manteniendo la protección de datos actualizada en el tiempo.
Para cumplir con la normativa de protección de datos un grupo de WathsApp para comuneros debe reunir las siguientes condiciones:
Primero. Su puesta en marcha lo debe aprobar la Junta de Propietarios en base a una finalidad justificada.
Segundo. Cada persona que forme parte del grupo ha de contar con una base de legitimación de las enumeradas en el art. 6 RGPD; que, en este caso, no puede ser otra que la de firmar un consentimiento expreso, informado e inequívoco, en caso de los Sres. Comuneros y una Declaración Responsable en caso de trabajadores de la entidad que presta los servicios de seguridad. Si una persona no consiente, no se pueden incluir sus datos en el grupo. Y todos los miembros del grupo que hayan consentido pueden retirar el consentimiento en el momento que quieran.
Tercero. Las intervenciones en el grupo se han de limitar a la finalidad para la que ha sido creado, de forma que no se pueden usar los datos de contacto de ningún integrante del grupo para un fin distinto.
Cuarto. En todo caso, y como norma general, si se pueden obtener los objetivos que se persiguen sin tener que usar un grupo de WhatsApp, pues mejor.
Lo de dejar en manos de terceras personas, como pueden ser los socorristas de una piscina, con todos mis respetos a los mismos, un listado de propietarios de una comunidad de propietarios supone, a mi modo de ver, un riesgo que deberíamos intentar evitar.
Esta cuestión se está solucionando de muchas maneras; una de ellas es la de entregar a cada propietario una pulsera u objeto similar que permita su acceso. El propietario que tiene esa pulsera u objeto entra y el que no, pues no entra.
Lo que te digo es que intentemos conseguir el objetivo perseguido minimizando los riesgos de protección de datos; esto es, usando cuanto menos datos, mejor.
En todo caso, si tenemos que entregar a una persona datos personales de los comuneros es importante que:
- Sean los menos datos posibles (principio de minimización de datos).
- Tengamos el consentimiento de los propietarios para hacerlo.
- Previamente nos haya firmado la persona que reciba los datos un documento de Declaración Responsable en el cual se hace responsable del cuidado y mantenimiento de los datos entregados.
Como norma habitual, a un nuevo administrador se le tiene que entregar toda la información que le pueda ser útil para la gestión de la comunidad de propietarios.
En todo caso sí es conveniente tener un modelo específico para cambio de administrador para tener constancia firmada de la retirada de la documentación por parte del administrador entrante.
Respecto a la protección de datos, puede servir como base el documento de declaración responsable.
Listados de morosos, lo que se dice listados de morosos, no se pueden publicar de ninguna forma. Ni limitando el tema a la dirección del inmueble ni de ninguna otra forma.
Otra cosa es la comunicación previa a la vía judicial en caso de haber sido imposible contactar con el propietario, necesaria para comenzar la tramitación judicial del asunto. En este caso se pude usar el tablón de anuncios de la comunidad como una especie de tablón edictal durante el tiempo mínimo posible y siempre y cuando dicho tablón esté situado de forma que sólo puedan verlo los vecinos de la CP. Dicho esto, se han de tomar todas las precauciones posibles, de hecho lo más adecuado es intentar la notificación directa por cualquier otro medio (así, en la actualidad los Juzgados y Tribunales aceptan la comunicación certificada vía email o vía SMS, por ejemplo y existen entidades especializadas que pueden certificar dichos envíos hasta con actas notariales).
Se trata de un tema complejo, pero hay dos opciones:
- Mandar el Burofax al Sr. Propietario del inmueble, del cual tenemos los datos, y dejar bajo su responsabilidad la gestión del incidente. Al fin y al cabo es él el responsable del inmueble ante la Administración de Fincas y ante la Comunidad de Propietarios.
- Considerar que para la adecuada gestión de la CP el Administrador de Fincas considera ineludible ponerse en contacto con el arrendatario del inmueble, el Sr. Inquilino, poseedor de facto del mismo. En este caso lo podríamos legitimar en base al art. 6.1.f) del RGPD que establece que se puede efectuar un tratamiento de datos cuando existe un "interés legítimo" del Responsable del Tratamiento (la Comunidad de Propietarios), siempre y cuando no se conculquen los Derechos y Libertades de los interesados. En ese caso concreto más que conculcar los derechos de protección de datos lo que se hace es poner en su consentimiento que va a ser denunciado para, así, poder evitar tener que responder ante la justicia. Y poniendo en contraposición el derecho a la protección de datos frente al derecho a ser informado, en este caso concreto, parece razonable y proporcionado priorizar el derecho a la información.
Las dos alternativas son válidas.
El derecho a la información de un comunero es un derecho limitado; dado que son los órganos rectores de la CP los que tienen, verdaderamente, la facultad de controlar la gestión de la Comunidad.
Dicho esto, si se trata de una información de una obra concreta y la documentación no contiene datos de carácter personal, se le puede dar traslado de la información.
Si tiene algún dato de carácter personal, se ha de tachar.
Otra opción es que lo consulte en la oficina de la Administración de Fincas.
En todo caso lo contenido en los presupuestos de unas obras serán datos de entidades mercantiles o de profesionales, por lo que, en puridad, no es materia de protección de datos.
Para contestar a esta pregunta, es necesario tener en cuenta lo siguiente:
- De conformidad con la LPH el Presidente de la C.P. representa a esta y, en principio, debe tener acceso a toda la información de la misma.
- El Administrador de Fincas es quien debe custodiar la documentación de la C.P. y, en consecuencia, preservarla.
- Desde el punto de vista estricto de la protección de datos y de conformidad con el art. 5.1.f) RGPD, los datos deben ser “tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).”
Teniendo en cuenta que el Responsable del Tratamiento, la C.P., nombra a un Encargado del Tratamiento, el Administrador de Fincas, precisamente porque su ejercicio profesional puede hacer más factible que se garantice una seguridad adecuada de los datos personales, dejar en manos de una persona física, aunque sea el Presidente, determinados datos de las personas que conforman la comunidad puede resultar arriesgado, de forma que se pongan en peligro los principios de integridad y confidencialidad de los datos.
En este punto, lo esencial es conocer la finalidad para la cual el Sr. Presidente necesita esos datos, esto es, el para qué. Y el Encargado del Tratamiento, el Administrador de Fincas, debe ponderar si la finalidad pone en riesgo los datos o no.
En todo caso, en caso de conflicto entre el derecho a la información y el de protección de datos, siempre se ha de realizar el denominado juicio de proporcionalidad, que incluye, entre otras cuestiones, verificar si existe otro modo de conseguir los fines de forma menos arriesgada para el tratamiento de los datos.
En este caso concreto existe la posibilidad de que el Sr. Presidente consulte los datos en las oficinas del Administrador de Fincas, por ejemplo, y esta puede ser una alternativa que deviene más adecuada para conservar los datos.
Con independencia de todo lo anterior y en todo caso, el Sr. Presidente debería firmar una declaración responsable (cfr. Anexo 1) indicando para qué quiere los datos y haciéndose responsable de su conservación adecuada y de no usar esos datos para un fin distinto del indicado en la solicitud.
En conclusión: el Presidente tiene derecho, pero no es un derecho absoluto, en tanto que el Administrador de Fincas está obligado a garantizar la integridad y confidencialidad de los datos; por lo que entregar determinados datos al Presidente depende de la valoración concreta sobre los riesgos concretos que se realice.
Las imágenes sólo pueden ser visualizadas por quien haya sido designado por la Comunidad de Propietarios.
Si un vecino ha sufrido un daño en su coche estando el mismo aparcado en el garaje comunitario, puede solicitar que la persona designada para ver las imágenes las revise. Una vez localizado el incidente, se le puede entregar copia de las imágenes al vecino que lo solicita teniendo presente lo indicado en el Informe Jurídico del Gabinete Jurídico de la AEPD sobre “interés legítimo videovigilancia” (Cfr. Anexo 8) que determina que se pueden entregar dichas imágenes siempre y cuando se aplique el principio de minimización de datos (solo se pueden entregar las imágenes referidas al incidente) y la finalidad sea la de reclamar al seguro del vehículo.
Además de esto, el solicitante debe solicitar las imágenes por escrito mediante Declaración Responsable de cumplimiento con la normativa de protección de datos (Cfr. Anexo 1).
En la póliza de seguro de la comunidad no aparecen datos de carácter personal. Se trata de un documento que expresa la relación contractual entre la comunidad y el prestador de servicios de seguros.
En este sentido, si el Administrador considera adecuado que el comunero tenga copia de la misma, desde el punto de vista de la normativa de protección de datos, no habría ningún problema.
En la cesión de datos es muy importante tener en cuenta la finalidad y la legitimidad. En este sentido, y con carácter general, NO debe entregarse una lista con los datos personales del resto de vecinos a un vecino de la comunidad.
Detallamos la respuesta.
Primero. Ateniéndonos al art. 5.1.f) del RGPD, los datos deberán ser “tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).”
Por lo que la comunicación de datos deberá limitarse a aquellos que, en cada caso, resulten “adecuados, pertinentes y limitados” para el cumplimiento de la finalidad que legitima el acceso a los mismos, que en estos supuestos viene referido al buen gobierno de la comunidad y a su control. Por lo tanto, y en consecuencia, no se permite un acceso generalizado a los datos de los comuneros a un tercero, aunque se trate de un comunero.
Siendo el Administrador de Fincas aquel sobre el que recae la custodia de los documentos de la Comunidad, sólo podrá entregar copia de los mismos, por imperativo legal, al Presidente de la Comunidad y previa firma, por parte de éste, de Declaración Responsable en la que aparezca que se hace cargo de la custodia de los datos personales que aparezcan en el documento, que sólo podrá tratarlos para la finalidad especificada en la Declaración Responsable y aplicando, en todo momento, el principio de minimización de datos.
Segundo. Si, como es el caso, los datos son solicitados por un comunero, podrá éste consultar el documento en las oficinas del Administrador de Fincas, cuestión esta que parece la más razonable y la que pone en menor medida en riesgo los datos de carácter personal.
Porque cierto es que el derecho a la protección de datos, como todo derecho fundamental, no es un derecho absoluto (Considerando 4 del RGPD) y que dicho derecho puede entrar en colisión con el derecho a la información del comunero.
Ahora bien, conforme a la reiterada jurisprudencia del Tribunal Supremo, en caso de colisión de derechos fundamentales se ha de aplicar el principio de proporcionalidad; y, en este caso, y de conformidad con el Gabinete Jurídico de la AEPD (confer, entre otros, “informe sobre interés legítimo”) la aplicación del principio de proporcionalidad ha de traducirse en el interés legítimo y en la aplicación, a su vez, del principio de minimización de datos.
Existiendo una alternativa, como representa el hecho de que el Sr. Comunero puede consultar la documentación en las oficinas del administrador de fincas, parece ésta la más adecuada a fin de preservar los derechos y libertades de los interesados.
Tercero. Si el Presidente de la Comunidad decide, por iniciativa propia y bajo su responsabilidad (cuestión ésta que no es aconsejable), darle traslado de copia del documento al comunero, deberá, como se ha dicho, con carácter previo, firmar la Declaración Responsable comentada.
Así pues, y en conclusión:
Parece abiertamente contrario a la normativa de protección de datos entregar copia de datos de forma generalizada a un comunero.
Por lo que se recomienda, al objeto de preservar los derechos y libertades de los interesados, que el comunero peticionario consulte el documento en las oficinas del Administrador de Fincas.
No. No es posible dar ningún dato de carácter personal a un tercero si no se tiene una base legítima para hacerlo.
El camino inverso sí que es posible; esto es, podemos pedirle al comunero el consentimiento para darle su número al Sr. Presidente e indicarle que quiere hablar con él.
El teléfono del Presidente de la Comunidad de Propietarios es un dato personal, que no se puede compartir con nadie sin su consentimiento previo, expreso e inequívoco.
Precisamente dentro de las funciones del Administrador de Fincas está atender las demandas de los comuneros; será a éste a quien se tenga que llamar.
En este sentido es muy claro el art. 32 RGPD, que establece lo siguiente:
"Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo (...)".
Esto es, debemos establecer medidas de seguridad para evitar los riesgos de exposición de datos personales; como el teléfono del Presidente es un dato de carácter personal, debemos tomar medidas técnicas y organizativas para evitar exponerlo a un mal uso, y entre ellas se encuentra no darlo a un tercero sin su consentimiento.
Con carácter general SÍ, dado que el Sr. Presidente está legitimado por Ley para conocer cualquier dato que se relacione con la gestión de la comunidad, aunque no es aconsejable exponer los datos a riesgos innecesarios.
En este sentido a la hora de ceder datos hemos de tener en cuenta no sólo la legitimidad sino también la finalidad; esto es, para qué quiere esos datos; dado que si es para realizar una gestión ordinaria, corresponde al Administrador realizarla.
Por lo tanto sí que el Sr. Presidente tiene derecho a conocer esos datos, aunque es más conveniente que la gestión que se pretenda hacer con ellos la haga el Administrador, evitando, con ello, riesgos innecesarios. Por eso es conveniente que el Sr. Presidente firme una solicitud por escrito en forma de declaración responsable (Cfr. Anexo 1).
Ampliamos la respuesta.
Primero. La normativa de protección de datos es de obligado cumplimiento tanto por la Comunidad de Propietarios como por el Administrador de Fincas; por lo que ambos han de velar por la protección de datos de carácter personal de los interesados, que, en este caso, son los comuneros.
Segundo. Conforme al art. 32 RGPD es necesario tomar las medidas técnicas y organizativas necesarias para adecuar la seguridad al riesgo; esto es, hemos de evitar, en lo posible, poner en riesgo los datos personales.
Tercero. La mejor forma de evitar dichos riesgos es utilizar los canales que tenga el Administrador de Fincas para trasladar lo que desee el Sr. Presidente de la Comunidad de Propietarios a los comuneros. Y que sea el propio Administrador de Fincas quien lo haga, evitando un trasiego innecesario de datos personales y reduciendo notablemente con ello los riesgos de vulneración de los Derechos y Libertades de los interesados.
Por todo ello, lo que resulta de mayor conformidad con la normativa de protección de datos es que el Sr. Presidente traslade al Administrador/a lo que quiera transmitir a los vecinos y sea éste último quien lo haga.
La propia Ley confiere al Sr. Presidente el acceso a todos los datos relacionados con la gestión de la comunidad. Aunque es deseable que le firme al Administrador, que es quien tiene que custodiar los datos, una solicitud en forma de declaración responsable (Cfr. Anexo 1), al objeto de que quede constancia.
En cuanto si se le puede entregar el listado de morosos, específicamente, al censor de cuentas, hay que tener en cuenta una serie de cuestiones:
- a) El Censor de Cuentas se supone que es un profesional sujeto a secreto profesional en sus actuaciones.
- b) En su calidad de censor de cuentas deberá contar con toda la documentación que necesite para desarrollar su labor.
Así pues, sí, se les puede entregar la documentación que necesite un censor de cuentas, incluido un listado de morosos, siempre y cuando esté relacionado con la finalidad de su trabajo como censor de cuentas y firmando, eso sí, con anterioridad a la entrega un documento, que puede ser, por ejemplo, una declaración responsable (Cfr. Anexo 1).
Partiendo del hecho de que la dirección de correo electrónico se considera un dato de carácter personal, se debe enviar SIEMPRE en CCO, con copia oculta; de forma que quien recibe el correo no pueda visualizar los correos electrónicos de los demás.
En el ámbito interno de la entidad, los correos corporativos se pueden considerar de uso exclusivo para temas de la propia entidad y, en consecuencia su uso no debe ser personal, por lo que, de forma habitual podemos poner en CC a los miembros de la organización a los que queramos mantener informados.
En este sentido, la evolución de las TIC y de la normativa de protección de datos ha hecho que el correo electrónico sea considerado un dato de carácter personal y, en consecuencia, deba ser protegido (y la propia AEPD ha sancionado en varias ocasiones a entidades por vulnerar ese principio).
En todo caso, hay que tener en cuenta que la normativa de protección de datos se refiere a un Derecho Fundamental que tiene que ser desarrollado a través de las Sentencias del Tribunal Constitucional y de la Jurisprudencia del Tribunal Supremo. Esto es, no sólo ha evolucionado sino que seguirá evolucionando; por lo tanto debemos estar abiertos a nuevos cambios como consecuencia de la aplicación de la normativa de protección de datos. Y cuando tales cambios se produzcan, como no puede ser de otra forma, los implementaremos.
A resultas de todo lo anterior, insisto, NUNCA se deben mandar correos electrónicos dirigidos a varios comuneros en copia abierta, por tanto, SIEMPRE SE DEBEN ENVIAR EN CCO.
En principio, el uso de las mirillas digitales estaría excluido en la aplicación de la normativa de protección de datos aplicando la excepción doméstica, siempre y cuando su uso se limite a de verificar la identidad de la persona que llamó al timbre y a facilitar el acceso a la vivienda. Sin embargo, si este tipo de mirillas reproducen y/o graban imágenes, resultará de plena aplicación el RGPD.
Así pues, tenemos dos opciones en función de cómo sea la mirilla digital:
- a) Si la mirilla digital no graba, su uso es el mismo del de una mirilla tradicional, por lo que no está sujeto a la normativa de protección de datos y, en consecuencia, no hay que pedir permiso a la comunidad para poder instalarla.
- b) Si la mirilla digital graba, le es de aplicación la normativa de protección de datos respecto a la videovigilancia en comunidades de propietarios y, en consecuencia: ha de pedirse permiso a la comunidad, se debe colocar un cartel indicativo de que le mirilla le está grabando, se ha de realizar el Registro de Actividades de Tratamiento y, en fin, todas las medidas aplicables en ese sentido.
Con carácter general, y con independencia de la normativa de protección de datos, ningún comunero puede instalar ningún tipo de elemento en las zonas comunes de una comunidad de propietarios sin permiso de la propia comunidad.
Hay que tener en cuenta, por una parte, que la finalidad deber ser la protección de los bienes comunitarios y de las personas, y que no se pueden visualizar las imágenes captadas salvo que se haya producido un incidente.
Por lo demás, se prevé la posibilidad de instalar cámaras en las piscinas de las comunidades propietarios, al ser una zona común, siempre que se adopte de conformidad con lo establecido en la Ley 49/1960, de 21 de julio, sobre propiedad horizontal. También se pueden instalar en piscinas y spas con fines de garantía de calidad sanitaria y de seguridad de las personas.
Tratándose de la captación de imágenes en zonas o elementos comunes de comunidades de propietarios, como puede ser la piscina comunitaria, la adopción de esta medida, requiere el acuerdo de la junta de propietarios en los términos previstos en la Ley de Propiedad Horizontal.
Sería conveniente que el acuerdo reflejara las características del sistema de videovigilancia, número de cámaras y espacios que captan.
Cumplido este requisito, la comunidad de propietarios como responsable del tratamiento, estará sujeta a las restantes obligaciones impuestas por la normativa de protección de datos. Las cámaras sólo podrán captar las zonas comunes de la comunidad, no siendo factible la grabación de imágenes de la vía pública, a excepción de una franja mínima de los accesos al inmueble. Tampoco se podrá realizar la captación de imágenes de terreros y viviendas colindantes o de cualquier otro espacio ajeno. En este último caso, si se usan cámaras orientables y/o con zoom, será necesaria la instalación de máscaras de privacidad para evitar esta grabación.
Por otra parte, deberá prestarse especial consideración a lo siguiente:
- Se instalarán en los distintos accesos a la zona videovigilada y, en lugar visible, uno o varios carteles que informen de que se accede a una zona videovigilada.
- El cartel indicará de forma clara la existencia del tratamiento, la identidad del responsable, la posibilidad de ejercitar los derechos del artículo 15 a 22 del RGPD y una referencia a dónde obtener más información sobre el tratamiento de los datos personales.
- La AEPD dispone de un modelo de cartel. El acceso a las imágenes estará restringido a las personas designadas por la comunidad de propietarios.
- En ningún caso estarán accesibles a los vecinos mediante canal de televisión comunitaria. Si el acceso se realiza con conexión a internet, se restringirá con un código de usuario y una contraseña (o cualquier otro medio que garantice la identificación y autenticación unívoca), que sólo serán conocidos por las personas autorizadas a acceder a dichas imágenes. Y sólo, además, si se ha producido un incidente.
- Una vez instalado el sistema, se recomienda el cambio regular de la contraseña, evitando las fácilmente deducibles.
- Se pondrá a disposición de los afectados la restante información que exige el artículo 13 del RGPD. La información puede estar disponible en conserjería, recepción, oficinas, tablones de anuncios o ser accesible a través de internet.
- La contratación de un servicio de videovigilancia externo o la instalación de las cámaras por un tercero no exime a la comunidad del cumplimiento de la legislación de protección de datos.
Si las Fuerzas de Seguridad el Estado solicitan por escrito el acceso a las imágenes del sistema de videovigilancia, se les debe hacer entrega de las mismas a la mayor brevedad posible.
Las cámaras tienen por finalidad, conforme a la normativa de protección de datos, proteger los bienes y las personas.
A tener en cuenta lo siguiente:
- Se han de poner a disposición de las Fuerzas y Cuerpos de Seguridad del Estado a la mayor brevedad posible.
- Sólo se pueden entregar las imágenes del incidente (principio de minimización de datos).
- Quien tiene que ver las imágenes y sacar la copia de las mismas es la persona que esté habilitada para ello (o la empresa correspondiente, si es el caso).
- La exposición pública de listas de morosos constituye una vulneración de la normativa de protección de datos.
- La normativa de protección de datos es de obligado cumplimiento tanto por parte del Administrador de Fincas como por parte de la Comunidad de Propietarios.
- Los comuneros pueden tener conocimiento del volumen total de la deuda, decidir sobre la resolución de la misma e instar procedimientos sobre su cobro, pero preservándose, en todo momento, los datos de carácter personal. No se pueden hacer públicos datos personales a través de cualquier sistema que pueda dar lugar a que una persona sea identificada o identificable. Y, como consecuencia de ello, puedan verse vulnerados sus derechos.
- En todo caso, el derecho a la información sobre la gestión de la Comunidad de Propietarios debe ejercerse de forma compatible con el derecho a la protección de los datos de carácter personal.
Se ha de tener en cuenta lo siguiente:
- Las grabaciones de Juntas de Propietarios se realizan con la única finalidad de ayudar a la redacción del acta de celebración de la misma, y los datos, de todo tipo, que aparecen en ellas se toman en relación a esa finalidad, y a ninguna otra. Previamente a la grabación, además, se ha de obtener el consentimiento de todas las personas que vayan a ser grabadas.
- El Administrador ha de custodiar dichas grabaciones tomando las medidas técnicas y organizativas necesarias para preservar su seguridad, sólo puede entregarlas a requerimiento de la autoridad competente, y deben ser eliminadas en el plazo máximo de un mes.
- Por defecto, se han de proteger los derechos y libertades de los comuneros individuales.
- Así pues, es contrario a la ley la grabación de una Junta de una Comunidad de Propietarios si no es a los solos efectos de redactar el acta y en las condiciones comentadas.
Los datos contenidos en procedimientos judiciales deben estar sometidos a especial protección por lo que no pueden ser compartidos con personas ajenas a dichos procedimientos.
Se puede dar información, si se estima conveniente, de forma muy generalizada, del tipo: en la actualidad están incoados en sede judicial tal número de procedimientos de reclamación de cantidad que afectan a tal número de propietarios. Y comentar los aspectos generales, porqué se decidió incoar los procedimientos (si es en base a una cantidad mínima de deuda o de tiempo de la deuda) y cuestiones similares.
En ningún caso se deben compartir datos de procedimientos judiciales concretos con personas ajenas a los mismos.
En todo caso, el Sr. Presidente tiene por ley la potestad de conocer todo, pero, como no viene de más, antes de proporcionarle la información, deberá rellenar la solicitud de esos datos conforme al modelo de declaración responsable (cfr. Anexo 1); así, si un tercero sabe del tema por él, no será responsable la Administración de Fincas.
En ningún caso se puede autorizar el visionado de imágenes del sistema de videovigilancia instalado por la Comunidad de Propietarios a través de un teléfono móvil. Dado que la exposición de los datos tratados sería muy grande y no seríamos capaces de poder mitigar el riesgo lo suficiente como para eliminar la posibilidad de que hubiera una fuga de datos.
Los sistemas de videovigilancia se instalan "con la finalidad de preservar la seguridad de las personas y bienes, así como de sus instalaciones" (art. 22.1. LOPD GDD) y no pueden ser visionadas las imágenes captadas salvo para denunciar un incidente relacionado con la seguridad de las personas, bienes e instalaciones; además, en ese caso, se ha de aplicar el principio de minimización de datos del art. 5.1.c) RGPD; esto es, sólo se pueden incorporar a la denuncia las imágenes en las que aparece el incidente.
- La obligación de que consten los nombres de los asistentes es una obligación legal establecida en el art. 19.2.d) de la Ley 49/1960, de 21 de julio, sobre propiedad horizontal, que establece que: "El acta de cada reunión de la Junta de propietarios deberá expresar, al menos, las siguientes circunstancias: (...) d)Relación de todos los asistentes y sus respectivos cargos, así como de los propietarios representados, con indicación, en todo caso, de sus cuotas de participación.
- En el caso de tratamiento de datos de los comuneros la base de legitimación no es el consentimiento sino la establecida en el art. 6.1.b) RGPD que nos dice que el tratamiento es lícito cuando "el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales".
- Por otra parte, y de conformidad con el Considerando (4) RGPD: "(...) El derecho a la protección de los datos personales no es un derecho absoluto sino que debe considerarse en relación con su función en la sociedad y mantener el equilibrio con otros derechos fundamentales, con arreglo al principio de proporcionalidad (...)".
Así pues, y en conclusión, los datos de los asistentes a las Juntas de Propietarios deben aparecer en el acta de las mismas por imperativo legal; es obligación del Administrador de Fincas y de los comuneros cumplir con los principios de protección de datos, el Administrador de Fincas debe custodiar las actas y no remitirlas a un tercero, ajeno a la propia comunidad de propietarios, salvo que de ella se eliminen los datos personales y esté suficientemente justificado.
A pesar de todo lo comentado, si alguien distinto al Administrador solicita copia del acta, sería deseable cambiar el nombre completo de las personas asistentes por sus iniciales junto a la finca de la que son propietarios.
1. El art. 22.5. de la LOPD GDD establece que "al amparo del artículo 2.2.c) del Reglamento (UE) 2016/679, se considera excluido de su ámbito de aplicación el tratamiento por una persona física de imágenes que solamente capten el interior de su propio domicilio."
Esto es, si las imágenes que se captan por el sistema de videovigilancia son exclusivamente del interior del domicilio, no es de aplicación la normativa de protección de datos al tratarse de un uso "familiar y doméstico".
2. Por su parte, en la ficha de videovigilancia que bajo el epígrafe "cámaras para vigilar la vivienda" ha editado y publicado la AEPD (cfr. Anexo 9) se dice: "Las imágenes captadas por las cámaras se limitarán a la vivienda de la que se sea titular. No podrán captarse imágenes de la vía pública a excepción de una franja mínima de los accesos a la vivienda y siempre que resulte imprescindible para su finalidad. Tampoco podrán captarse imágenes de terrenos y viviendas colindantes o de cualquier otro espacio ajeno."
Evidentemente, se trata de un texto tremendamente clarificador respecto a la cuestión que estamos comentando: no podrán captarse imágenes de la vía pública y menos aún de terrenos y viviendas colindantes o de cualquier otro espacio ajeno.
Así pues, en el caso que nos ocupa, se ha de comunicar al vecino en cuestión que ha de retirar la cámara que capta imágenes de la propiedad de otro vecino por ser contrario a la normativa de protección de datos.
Respecto al sistema de control de los inquilinos tenemos que ser extremadamente prudentes, y, por encima de cualquier otra cosa, proteger los Derechos y Libertades de los interesados, puesto que, dado que no existe obligación legal de que los propietarios tengan que ceder los datos de los inquilinos, tan solo podrían tratarse los datos de los arrendatarios siempre y cuando tuviéramos el consentimiento expreso de los interesados. Entendiendo éste como una manifestación de voluntad libre, específica, informada e inequívoca.
El consentimiento expreso deberá contener el proteger los Derechos y Libertades de los interesados, puesto que, dado que no existe obligación legal de que los propietarios tengan que ceder los datos de los inquilinos, tan solo podrían tratarse los datos de los arrendatarios siempre y cuando tuviéramos el mínimo de datos posible del interesado, aplicando el principio de minimización de datos, atendiendo a la finalidad pretendida. Asimismo, deberá contener, además de la información de contacto del Responsable del Tratamiento, en este caso, los datos de contacto del Encargado del Tratamiento y, en su caso, de su DPD.
Será absolutamente necesario que se informe de la finalidad del tratamiento (proteger los Derechos y Libertades de los interesados, puesto que, dado que no existe obligación legal de que los propietarios tengan que ceder los datos de los inquilinos, tan solo podrían tratarse los datos de los arrendatarios siempre y cuando tuviéramos el para qué queremos sus datos, y que dicha finalidad sea lícita, leal y transparente; además, dicha finalidad no puede ser genérica, los datos deben ser recogidos con proteger los Derechos y Libertades de los interesados, puesto que, dado que no existe obligación legal de que los propietarios tengan que ceder los datos de los inquilinos, tan solo podrían tratarse los datos de los arrendatarios siempre y cuando tuviéramos el fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines –principio de limitación de la finalidad-), el plazo de conservación de los datos, la posibilidad de ejercer los derechos ante el Responsable o ante la autoridad de control, en este caso la AEPD, y las casillas de consentimiento expreso donde quede reflejada la clara acción afirmativa de los interesados.
Todas estas cuestiones, evidentemente, necesitarían la aprobación de los órganos legítimos de la propia Comunidad de Propietarios.
Será necesario, también, elaborar el proteger los Derechos y Libertades de los interesados, puesto que, dado que no existe obligación legal de que los propietarios tengan que ceder los datos de los inquilinos, tan solo podrían tratarse los datos de los arrendatarios siempre y cuando tuviéramos el Registro de Actividades de Tratamiento específico.
Un modelo de consentimiento expreso que tendrían que firmar los interesados (el arrendatario o inquilino, en este caso) se puede encontrar en el Anexo 10.
Uno de los puntos más importantes a la hora de hacer una gestión adecuada de la protección de datos es la cuestión de cómo hemos de dar la información.
A este respecto, el Considerando (58) RGPD nos dice:
“El principio de transparencia exige que toda información dirigida al público o al interesado sea concisa, fácilmente accesible y fácil de entender, y que se utilice un lenguaje claro y sencillo, y, además, en su caso, se visualice.”
A su vez el art. 12.1. RGPD, bajo el epígrafe “Transparencia de la información, comunicación y modalidades de ejercicio de los derechos del interesado”, especifica:
“El responsable del tratamiento tomará las medidas oportunas para facilitar al interesado toda información indicada en los artículos 13 y 14, así como cualquier comunicación con arreglo a los artículos 15 a 22 y 34 relativa al tratamiento, en forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, en particular cualquier información dirigida específicamente a un niño. La información será facilitada por escrito o por otros medios, inclusive, si procede, por medios electrónicos. Cuando lo solicite el interesado, la información podrá facilitarse verbalmente siempre que se demuestre la identidad del interesado por otros medios.”
Así pues, cuando cualquier interesado/comunero nos solicite alguna información relativa a la protección de datos, se la hemos de trasladar en un lenguaje inteligible, transparente, claro y sencillo.
Hemos de desterrar para siempre los avisos de protección de datos extensos, farragosos e ininteligibles, que parece que lo que buscan es que nadie los lea.
Trasparencia, claridad y sencillez, ese es el camino que el RGPD marca para cumplir adecuadamente con la normativa de protección de datos.
En esta cuestión debemos partir del hecho de que el vínculo jurídico del Administrador de Fincas es con la Comunidad de Propietarios; que, como su propio nombre indica, está formada por los propietarios de los bienes inmuebles que forman parte de la Comunidad.
Con independencia de esa relación jurídica, en muchos casos el Sr. Propietario tiene un contrato de arrendamiento de la vivienda de su propiedad con un inquilino o arrendatario. Dicho contrato vincula a las partes firmantes; esto es, al arrendador y al arrendatario, y en ningún caso supone la sustitución del propietario en su posición en el seno de la Comunidad de Propietarios.
Así pues, en ningún caso podemos entregar los actas, informes, teléfono de un presidente, deudores y otros datos personales a un inquilino o arrendatario.
Siendo mucho lo que se ha escrito sobre este tema, lo cierto es que resulta determinante el documento que el 23 de noviembre de 2023 se ha publicado en la página web de la Agencia Española de Protección de Datos en relación a la puesta a disposición de una nueva guía sobre la utilización de datos biométricos para el control de presencia y acceso.
Se trata de un documento que fija los criterios para la utilización de la biometría para el control de acceso, tanto con fines laborales como no laborales, estableciendo las medidas que habrá que tener en cuenta para que el tratamiento de datos personales que utilice esta tecnología cumpla con el Reglamento General de Protección de Datos (RGPD).
La Agencia considera el tratamiento de datos biométricos, tanto para identificación como para autenticación, como un tratamiento de alto riesgo que incluye categorías especiales de datos. Según el RGPD, para poder realizar el tratamiento de estas categorías es necesario que exista una circunstancia que levante la prohibición de su tratamiento y, además, una condición que lo legitime.
Para el caso de registro de jornada y control de acceso con fines laborales, si el levantamiento de la prohibición se basa en el art. 9.2 b) del RGPD, el Responsable debe contar con una norma con rango de ley que autorice el específicamente el uso de datos biométricos para dicha finalidad. La Agencia indica que, en el marco de estos tratamientos, el consentimiento expreso no podrá levantar la prohibición o ser una base para determinar la licitud del tratamiento, al existir un desequilibrio entre la persona a la que se somete el tratamiento y quien lo está llevando a cabo.
En el caso del control de accesos fuera del ámbito laboral, el consentimiento tampoco podrá ser una circunstancia que levante la prohibición, al ser un tratamiento de alto riesgo, y no superar el requisito de necesidad (art. 35. 7 b) RGPD).
La nueva guía también establece restricciones en los tratamientos biométricos realizados para el control de presencia cuando se toman decisiones automatizadas sin intervención humana que tengan efectos jurídicos sobre la persona o le afecten significativamente de forma similar.
Así pues, la guía precisa que, en caso de pretender captar datos biométricos, de forma previa al inicio del tratamiento, será obligatoria la realización de una Evaluación de Impacto para la Protección de Datos en las que, entre otros aspectos, se acredite la superación del tripe análisis de idoneidad, necesidad y proporcionalidad estricta del tratamiento.
Por último, la Agencia añade un listado de medidas que deben llevarse a cabo si se superan todos los requisitos de cumplimiento de los principios del RGPD:
- Informar a las personas sobre el tratamiento biométrico y los riesgos elevados asociados al mismo.
- Implementar en el sistema biométrico la posibilidad de revocar el vínculo de identidad entre la plantilla biométrica y la persona física.
- Implementar medios técnicos para asegurarse la imposibilidad de utilizar las plantillas para cualquier otro propósito.
- Utilizar cifrado para proteger la confidencialidad, disponibilidad e integridad de la plantilla biométrica.
- Utilizar formatos de datos o tecnologías específicas que imposibiliten la interconexión de bases de datos biométricos y la divulgación de datos no comprobada.
- Suprimir los datos biométricos cuando no se vinculen a la finalidad que motivó su tratamiento.
- Implementar la protección de datos desde el diseño.
- Aplicar la minimización de los datos recogidos, con una evaluación objetiva de que no hay tratamiento de categorías especiales de datos.
Podréis acceder a la guía a través del siguiente enlace: https://www.aepd.es/documento/guia-control-presencia-biometrico-nov-2023.pdf
Una vez reviséis la nueva guía en todo su contenido, seguramente llegaréis a la conclusión a la que yo he llegado; esto es, que dado el número de requisitos que se deben cumplir para poder implementar un tratamiento que contenga datos biométricos (el de la huella digital, por ejemplo) y la complejidad de los mismos, es desaconsejable contar con este tipo de herramientas por el alto riesgo que puede suponer para los Derechos y Libertades de los interesados y, con ello, el riesgo real de incumplir la normativa actualizada de protección de datos.
Se puede decir que, desde la publicación de la guía mencionada (23 de noviembre de 2023), ha cambiado sustancialmente la percepción de la AEPD sobre este tema.
Sobre la posibilidad de grabar una conversación un propietario en una Junta de Propietarios sin tener permiso para ello, podemos considerar lo siguiente:
Primero. Aunque existía un cierto consenso en la jurisprudencia sobre la validez de estas grabaciones basado en la premisa de que no puede existir secreto para la persona a la que se dirige la conversación, ni se produce una vulneración de la intimidad. Esto se debe a que (conforme a la STS que cito más abajo) cuando una persona comparte voluntariamente una opinión o un secreto con su interlocutor, está renunciando a su privacidad al permitir que terceros conozcan el contenido de la conversación, sin que ello constituya una violación o infracción.
Este principio legal fue respaldado por una sentencia del Tribunal Supremo en 2016 (STS 3585/2016) que estableció lo siguiente: "La presentación al proceso de grabaciones de conversaciones particulares efectuadas por uno de sus protagonistas no infringe el derecho al secreto de las comunicaciones, pues este derecho no puede utilizarse frente a los propios intervinientes en la conversación".
Segundo. Sin embargo, esa STS es de 2016 y el RGPD entra en vigor en 2018, cambiando notablemente el panorama. En este sentido, hay que tener en cuenta que la STC 11/1998 estableció con claridad que la protección de datos es un Derecho autónomo e independiente del Derecho a la intimidad. Recogidos ambos en el art. 18 CE. Y la STS 3585/2016 se refiere al Derecho a la intimidad más que al Derecho a la protección de datos.
Tercero. El RGPD y el Derecho a la protección de datos está sujeto a las decisiones jurisprudenciales que el Tribunal Supremo va tomando, y, hay que tener en cuenta en este sentido, que no ha pasado tiempo suficiente todavía para que se pronuncie sobre muchas cuestiones. No obstante esto, nos puede servir de guía en esta cuestión, al menos por aplicación del principio de analogía, el documento elaborado por el Gabinete Jurídico de la AEPD titulado "informe_juridico_rgpd_grabacion_de_imagenes_y_voz_proporcionalidad" (Cf. Anexo 11); en el que se insiste en la idea de que las grabaciones de voz suponen una medida intrusiva, resulta una medida desproporcionada, y, por lo tanto, atenta contra el Derecho a la protección de datos.
Cuarto. Además, hay que tener en cuenta que cualquier tipo de tratamiento de datos personales, y la voz es un dato personal, se ha de realizar contando con una base de legitimación; en este caso concreto la única a la que podemos apelar es a la legitimación a través del art. 6.1.f) interés legítimo del responsable del tratamiento. Ahora bien, hemos de tener en cuenta que el interés legítimo se puede utilizar como base legitimadora siempre y cuando no atente contra los Derechos y Libertades de la persona.
Quinto. Así pues, sólo cable aplicar el denominado "juicio de proporcionalidad", tal y como establece el Tribunal Supremo. Pues bien, aplicando tal principio y teniendo en cuenta todo lo comentado, conforme a mi leal saber y entender y en lo referente al Derecho a la protección de datos, grabar una conversación sin consentimiento de la persona a la que se graba resulta abiertamente desproporcionado, supone una intrusión y atenta contra la normativa de protección de datos.
Regulación: Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de Abril de 2016 (RGPD), así como su correlato a nivel nacional, la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, de 5 de Diciembre de 2018 (LOPD GDD).
Responsable del Tratamiento: Nombre de la Comunidad de Propietarios
Encargado del Tratamiento: Nombre del Administrador de Fincas.
Teléfono y email de contacto: Del Administrador de Fincas.
Delegado de Protección de Datos: Nombre del DPD
Email: Email del DPD
A tener en cuenta:
- Con la normativa de protección de datos debemos cumplir todos.
- Los datos deben ser tratados de forma que no se incumpla la Ley (licitud), para aquello para lo que se nos han dado (lealtad) y sin esconder debajo de la alfombra un mal uso de los mismos, porque en ese caso hemos de comunicarlo a los afectados lo antes posible y rectificar (transparencia)-art. 5.1.a) RGPD-.
- Todos (tanto el Responsable –Comunidad de Propietarios- como el Encargado del tratamiento –Administrador de Fincas- deberán aplicar las medidas necesarias para cumplir con la Ley (art. 32.1 RGPD).
- deberá contar con la documentación necesaria de protección de datos (Registros de Actividades de Tratamiento, Contrato entre Responsable y Encargado del Tratamiento, Compromisos de Confidencialidad, modelos de Ejercicios de Derechos, etc…) pero es fundamental aplicar el principio de responsabilidad proactiva (entender la protección de datos desde el diseño y, por defecto, proteger los Derechos y Libertades de los interesados; y poder demostrar que se hace lo necesario para proteger los datos de carácter personal).
- podemos divulgar ningún dato de morosidad, ni podemos instalar una cámara en la que aparezcan imágenes de zonas comunes, ni poner una mirilla digital que grabe imágenes, ni tener un coche en el garaje que grabe imágenes (salvo que cumplamos con todos los requisitos que dice la Ley), ni utilizar datos de los comuneros en grupos no profesionales y sin autorización de WhatsApp ni en redes sociales.
- Y si tenemos alguna duda, antes de hacer nada que pueda ser contrario a la Ley, pregunta al Delegado de Protección de Datos.
Preguntas y respuestas sobre ciberseguridad
Tened siempre en cuenta que toda la información que necesitemos sobre prevención de ataques cibernéticos la podemos encontrar en el Instituto Nacional de Ciberseguridad (INCIBE).
Ante una brecha de seguridad hemos de hacer lo siguiente a la mayor brevedad posible:
- Denunciar ante las Fuerzas y Cuerpos de Seguridad del Estado.
- Comunicar el incidente al Instituto Nacional de Ciberseguridad (INCIBE). A través del siguiente enlace: https://www.incibe.es/empresas/te-ayudamos o a través del teléfono gratuito 017.
- Comunicar la brecha de seguridad a la Agencia Española de Protección de Datos (AEPD).
Recordemos que el art. 33.1 RGPD establece que: “En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.” En el siguiente enlace la AEPD pone a disposición una herramienta para que se pueda valorar la posibilidad de comunicar la brecha de seguridad: https://servicios.aepd.es/AEPD/view/form/MDAwMDAwMDAwMDAwMDUwOTUyMjYxNzE2NTQ3NTE2Njk0?updated=true La notificación de la brecha de seguridad se puede realizar a través del siguiente enlace: https://sedeagpd.gob.es/sede-electronica-web/vistas/infoSede/nbs/guiadoBrechasInicio.jsf - Comunicar la brecha sufrida a los afectados.
- En este sentido el art. 34.1 RGPD nos dice al respecto que: “Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.”
- Comunicar la brecha de seguridad al Delegado de Protección de Datos (DPD).
- Iniciar de forma inmediata una investigación de la naturaleza y alcance de la brecha sufrida y tomar todas las medidas técnicas y organizativas necesarias para mitigar sus efectos y evitar que se repita en el futuro.
Tened siempre en cuenta que toda la información que necesitemos sobre prevención de ataques cibernéticos la podemos encontrar en el Instituto Nacional de Ciberseguridad (INCIBE).
La prevención de ataque BEC del inglés Business E-mail Compromise o correo electrónico corporativo comprometido es fundamental, dado que se trata de un tipo de fraude contra empresas que realizan transferencias electrónicas de dinero.
Supongamos que nuestra empresa se llama Pedro S.L.
El ciberdelincuente suplanta a uno de nuestros proveedores (Proveedor S.L.) e intercepta los correos de facturación que nos envía, cambiando la cuenta del banco donde realizar los pagos, de manera que hagamos una transferencia a una cuenta controlada por ellos.
Imaginaros que para el último pedido, una vez acordado el precio con el proveedor, hemos quedado en que nos van a enviar la factura por medio del correo electrónico para realizar la transferencia. Recibimos la factura y realizamos el pago al número de cuenta indicado en el correo recibido.
Pasados unos días, como no recibimos el pedido nos ponemos en contacto con Proveedor S.L. para reclamarlo. Una empleada de Proveedor S.L. nos indica que aún no han recibido el pago, requisito indispensable para realizar el envío.
Desde Pedro S.L. enviamos el justificante de la transferencia. Al comprobar el justificante, la empleada de Proveedor S.L. para reclamarlo. Una empleada de Proveedor S.L. nos advierte que ese no es su número de cuenta bancaria. ¿Qué ha sucedido? Puede ser que nuestra cuenta de correo o la de nuestro proveedor estén comprometidas, es decir, controladas por el ciberdelincuente.
CASO 1: Nuestra cuenta de correo está comprometida
El ciberdelincuente ha podido acceder a nuestra cuenta y ha creado una regla de entrada en nuestro buzón de correo. Esta regla, funciona reenviando todo el correo procedente de facturacion@proveedor.com, a una cuenta de correo desconocida, ciberdelincuente@email.ru, además, mueve el correo de la bandeja de entrada a una carpeta oculta, para que no lo detectemos.
Si revisamos las cabeceras del correo que hemos recibido con la cuenta bancaria modificada se detecta que la dirección desde la que se envió la factura es facturacion@proovedor.com. El atacante ha creado un dominio muy parecido al de Proveedor S.A. para suplantar su identidad y cometer el fraude.
CASO 2: Cuenta de correo del proveedor comprometida
En este caso, Proveedor S.A. recibe llamadas de clientes que han recibido correos con facturas con el número de cuenta modificado, es decir, su correo está comprometido. Aparentemente los correos se envían desde la dirección legítima.
Se detecta una regla de salida en el buzón de correo de Proveedor S.A. que ellos no habían configurado. Esta regla, funciona interceptando todo el correo saliente con facturas hacia clientes, y los reenvía a una cuenta de correo desconocida, ciberdelincuente@email.ru.
Es posible que su cuenta siga comprometida, ya que los correos a clientes están siendo enviados desde el correo legítimo. Es probable que el ciberdelincuente esté interceptando, toda la información que llega al buzón del proveedor para posteriormente acceder al correo de facturación del proveedor para cometer el fraude.
La víctima que está esperando un correo con la factura del proveedor, baja la guardia, presta menos atención y se confía, lo que hace que estos ataques sean muy efectivos. Además, es un fraude fácil para el ciberdelincuente pues puede obtener ingresos elevados y no precisa tener conocimientos avanzados, solo hacerse con el control de una cuenta, obteniendo, por ejemplo, las credenciales de filtraciones o mediante ingeniería social.
Los ciberdelincuentes recopilan datos sobre sus víctimas que luego usan para generar confianza. Entre otros, pueden encontrar nombres y cargos de los empleados, así como listas de correos, de la web corporativa, redes sociales y otros medios.
En la mayoría de las ocasiones están varias semanas dentro del correo de la víctima, conociendo los pormenores de las operaciones antes de perpetrar el fraude, observan los correos y crean reglas específicas. Esperan a que llegue el momento oportuno para actuar, por ejemplo, cuando se espera una factura de un importe alto, hay un nuevo cliente o el responsable está de vacaciones.
¿Cómo han accedido a nuestro correo electrónico?
Han conseguido las credenciales de nuestro correo electrónico, esto puede ser porque:
- Han entrado en nuestra cuenta de correo por falta de concienciación:
- tenemos equipos sin acceso por contraseña;
- nuestras contraseñas están escritas en papeles accesibles o a la vista;
- tenemos las contraseñas almacenadas en texto plano en el propio equipo, es decir, en cualquier fichero;
- utilizamos contraseñas poco robustas;
- no utilizamos doble factor de autenticación.
Si han obtenido las credenciales de nuestra cuenta de correo
- utilizando ingeniería social;
- hemos introducido las credenciales (usuario y contraseña) al caer en alguna campaña de phishing suplantando a otra empresa, bancos, entidades de referencia, herramienta o servicio (cloud, Microsoft 365, etc.);
- shoulder surfing: visualizan las credenciales cuando las tecleamos o si hay una cámara espiando.
- Hemos sido infectados por malware que puede espiar y robar nuestras credenciales. En particular keyloggers que es un malware que registra nuestras pulsaciones en el teclado. Estos también pueden ser de tipo hardware, por ello revisaremos que no hay ningún dispositivo extraño conectado a nuestros ordenadores y servidores.
Lanzan ataques automatizados contra el servidor de correo con contraseñas comunes o contraseñas filtradas por brechas de seguridad:
- password spraying o ataque de fuerza bruta, probando de manera automatizada y lentamente (para no ser detectados), una a una, contraseñas de uso común (12345678, 11111111, administrador, …) de una lista contra las cuentas del servidor de correo, hasta que consiguen entrar.
- credenciales reutilizadas (credential stuffing / credential reuse): los ciberdelincuentes prueban de manera automatizada pares de nombres de usuario y contraseña extraídos de alguna filtración. Se aprovechan de una mala práctica extendida que consiste en la reutilización de credenciales de aplicaciones personales (por ejemplo redes sociales o servicios de streaming) en aplicaciones del entorno corporativo como el correo. De ahí, la importancia de utilizar contraseñas únicas en cada servicio. También se recomienda, por el mismo motivo no utilizar la cuenta corporativa para registrarse en plataformas ajenas a las de la propia empresa.
Podemos comprobar si alguna de nuestras cuentas está en una filtración que haya tenido lugar debida a brechas de seguridad de algún servicio, red social o aplicación que utilicemos:
Si han entrado en nuestros sistemas:
- aprovechando vulnerabilidades no parcheadas en el servidor de correo o errores de configuración;
- porque tenemos software, sistemas operativos o navegadores desactualizados y son vulnerables.
Han tenido acceso al correo y lo han manipulado, pero no tienen las credenciales:
- Dejamos las sesiones abiertas cuando no estamos delante del ordenador en un entorno abierto.
- Utilizamos el correo en equipos de uso compartido o en lugares públicos.
- Los ciberdelincuentes utilizan malware tipo RAT (Remote Access Trojan) o vulnerabilidades de acceso remoto.
- La wifi está comprometida o no está bien configurada y enviamos los correos sin cifrar.
¿Has sido víctima de un fraude BEC?
En primer lugar debes ponerte en contacto con el banco o entidad financiera correspondiente, para comunicar el hecho e intentar revertir la transferencia.
Reporta el incidente
Ten en cuenta que el correo recibido con el número de cuenta del banco modificado es una evidencia y debe ser analizado. Por ello, hemos de reportar el incidente adjuntando el correo y sus adjuntos para su análisis a INCIBE-CERT (INCIBE-CERT Incidencias ), de manera que llegue con las cabeceras originales.
Denuncia
Después, en particular, si se ha cometido el fraude, tenemos que denunciar el incidente para que se investigue el origen del delito ante las Fuerzas y Cuerpos de Seguridad del Estado.
Si fuera necesario realizar un análisis forense para detectar donde se ha producido la brecha, podéis consultar las empresas y soluciones del Catálogo de ciberseguridad.
Comunica la brecha de datos
Si han tenido acceso a nuestro correo electrónico (o a los datos de algún cliente), se ha producido una brecha de seguridad (según el artículo 33 del RGPD) y puede que se hayan visto afectados datos personales. Si es así, el responsable del tratamiento de la empresa tiene que notificar el incidente antes de 72 horas a la Autoridad de control competente, la AEPD o similar en tu comunidad.
Para determinar qué ha pasado y detener el incidente tenemos que seguir estos pasos:
- Revisaremos si existen reglas o filtros (Outlook o Gmail) no deseados configurados en nuestra cuenta de correo electrónico. Y también a nivel de servidor, si tenemos un servidor de correo propio. Así, obtendremos evidencias por si necesitamos utilizarlas para un juicio y después borraremos estas reglas o filtros. Si subcontratamos este servicio contactaremos con nuestro proveedor para realizar estas comprobaciones y las siguientes.
- Examinaremos los usuarios de correo para localizar y desactivar los que se hayan creado recientemente y no estén controlados, en particular los que pertenezcan al grupo administrador. Revisaremos también los registros o logs de acceso a la cuenta afectada para detectar accesos ajenos o no controlados.
- Analizaremos los sistemas de monitorización del servidor de correo, consultando las gráficas o los logs, del tráfico SMTP (protocolo de correo electrónico) saliente en nuestra red. Si este tráfico es muy elevado es probable que nuestro servidor haya sido comprometido.
- Cambiaremos la contraseña por una robusta. Como medida adicional, se recomienda aplicar doble factor de autenticación.
Para evitar este tipo de incidentes recomendamos:
Cuidar de tu cuenta de correo electrónico corporativo
- No utilizar el correo corporativo para registrarnos en webs con concursos, foros o servicios ajenos a la empresa.
- No compartir la cuenta de correo con otros usuarios.
- Ofuscar las direcciones de correos que publicamos en la web y en redes sociales, para que no puedan ser ‘crawleadas’ (extraídas de forma automática).
- Evitar utilizar el correo electrónico desde conexiones públicas.
Configurar y actualizar
- Revisar periódicamente la configuración del correo de la empresa.
- Mantener las aplicaciones antimalware actualizadas y activar los filtros antispam.
- Establecer y aplicar una política de uso de contraseñas. Cambiar la contraseña periódicamente, automatizando este proceso configurando la caducidad de la misma en nuestros sistemas.
- Desactivar la ejecución de macros en ficheros Microsoft Office.
Estar alerta ante posibles fraudes
- Comprobar mediante un canal de comunicación ajeno al correo electrónico, si el número de cuenta corresponde al destinatario de la factura.
- Aprender a identificar los correos sospechosos, y tener precaución a la hora de acceder a enlaces o abrir adjuntos que nos faciliten en los correos. Es recomendable analizarlos antes con herramientas online, como virustotal.com, si los enlaces están acortados se puede utilizar unshorten.it o similares.
Utilizar herramientas y configurar protocolos para detectar fraudes, intrusiones y suplantación de nuestro dominio
- Instalar y monitorizar el tráfico con herramientas IDS e IPS o UTM.
- Seguir las recomendaciones de INCIBE-CERT para configurar la seguridad en el correo electrónico (parte I y parte II) y evitar suplantaciones. Se requieren conocimientos avanzados. Si tenemos nuestro servidor de correo lo haremos nosotros, si es externo debemos comprobar con nuestro proveedor si aplican estas protecciones.
- Activar la verificación SPF o Sender Policy Framework: es un protocolo de autenticación de dominios que nos permite identificar los servidores de correo que pueden enviar mensajes en nombre de nuestro dominio (por ejemplo ‘pedro . com’).
- Activar el protocolo DKIM o Domain Keys Identified Mail: permite mediante técnicas criptográficas (firma electrónica), que quien recibe nuestros mensajes de correo electrónico pueda comprobar que realmente proceden de nuestro dominio y que no han sufrido modificaciones durante la transmisión.
- Activar el estándar DMARC o Domain-based Message Authentication, Reporting and Conformance: verifica, tanto SPF, como DKIM y nos permite además, como propietarios del dominio de correo dar indicaciones a los proveedores de correo electrónico (ISP), para actuar en caso de que se detecte un ataque de suplantación o de modificación de correos. De esta forma, aumenta nuestra capacidad de proteger nuestro dominio ante un uso no autorizado o una suplantación de identidad.
Tened siempre en cuenta que toda la información que necesitemos sobre prevención de ataques cibernéticos la podemos encontrar en el Instituto Nacional de Ciberseguridad (INCIBE).
Una de las principales formas de estafa a través del email se denomina, coloquialmente, como phishing.
Phishing más comunes. Presta atención para no ser “pescado”
A continuación, veremos una serie de modalidades de estos ataques de phishing, las cuales se encuentran muy presentes en la actualidad del cibercrimen:
1. Phishing fraude de la Agencia Estatal de Administración Tributaria (AEAT)
Durante el período de la declaración de la renta entre abril y junio, durante los meses previos y la temporada habilitada se puede apreciar un auge de esta modalidad de phishing. Se trata de una campaña de correos maliciosos que tratan de suplantar a la Agencia Tributaria, con el objetivo de obtener las credenciales de acceso del usuario a través de una página fraudulenta que suplanta a la legítima, o trata de infectar su dispositivo.
Existen variaciones en las cuales puede cambiar el cuerpo del correo o el asunto del mismo.
En esta línea, existe una modalidad de smishing, es decir, suplantación de identidad vía SMS, mediante la cual se notifica al usuario de que ha sido seleccionado para recibir una devolución de dinero.
Si el usuario abre el enlace adjunto en el mensaje de texto accederá a una página en la que deberá introducir su cuenta bancaria, con pin incluido. Esto hará que los ciberatacantes obtengan las credenciales de la víctima. Así pues, se recomienda prestar atención a esta posible modalidad.
Se recomienda sospechar de este tipo de inicio de sesión, dado que la Agencia Tributaria nunca empleará la modalidad de correo electrónico y contraseña. En caso de que el usuario los introduzca, estos quedarán en manos de los ciberdelicuentes.
2. Phishing Bussines Email Compromise.
El BEC o correo electrónico corporativo comprometido es una modalidad de phishing que sigue el esquema de la ilustración. Consiste en un fraude contra empresas que realizan transferencias digitales de dinero.
La causa de este engaño puede ser, o bien que la cuenta de correo del usuario de la empresa esté comprometida, o bien que sea la del proveedor. Sea como sea, uno de los dos interlocutores ha sufrido una intercepción ilegítima la cual ha afectado a ambas partes y solo ha beneficiado a un agente externo: el ciberdelincuente.
3. Phishing fraude del CEO
En esta modalidad de phishing se percibe que un empleado de alto rango con capacidad para realizar transferencias o acceder a los datos de las cuentas, recibe un correo de su supuesto superior, bien el CEO, presidente o director de la empresa. En dicho mensaje se le pedirá ayuda para realizar una operación financiera de carácter urgente y confidencial.
Si el usuario no detecta que se trata de una suplantación de identidad, podría responder al correo revelando datos de extrema sensibilidad.
Los ciberatacantes explotarán determinados factores para dotar de mayor credibilidad al engaño, tales como aprovechar periodos en los que el verdadero jefe esté ausente o no disponible por una reunión o viaje, acrecentando así la posibilidad de que la víctima no pueda verificar la autenticidad.
Se trata de un tipo de suplantación de identidad que emplea técnicas de ingeniería social, lo cual requerirá que los empleados estén bien concienciados para no picar en el engaño. Se le conoce como whalling, ya que es un tipo de phishing dirigido a peces gordos.
4. Phishing fraude de empresas de mensajería
La siguiente modalidad consiste en una campaña de correos fraudulentos que tratan de suplantar a empresas de mensajería. El ciberdelincuente emplea un correo señuelo el cual tiene como asunto «Re: su número de envío (x) está pendiente». En el cuerpo se informa al usuario de que su paquete no ha podido ser entregado por dirección incorrecta y se han de pagar los costos del envío.
A través de un cuerpo de correo similar al de la ilustración, se incitará al usuario a realizar el pago en cuestión, el cual consistirá en una cantidad poco significativa. Esto aumenta las posibilidades de que la víctima pique. Si esta hace clic en el enlace para pagar e introduce sus datos bancarios, estos serán sustraídos, dado que se trata de un enlace malicioso.
5. Phishing fraude de entidades bancarias
Se trata de una modalidad la cual consiste en una campaña de correos electrónicos fraudulentos que suplantan a entidades bancarias, cuyo objetivo es dirigir al usuario a una web fraudulenta con el objetivo de obtener sus credenciales de acceso e información bancaria.
En el ejemplo del banco BBVA, los ciberdelincuentes elaboran un correo con el asunto «Confirme sus datos», en cuyo cuerpo encontramos una solicitud aparentemente legítima en la cual se insta al usuario a actualizar sus datos de inicio de sesión.
Como se puede apreciar en la ilustración, los ciberdelincuentes emplean una dirección de remitente muy similar a la original, aumentando así las posibilidades de que la víctima no se fije.
Conclusiones: el phishing se crea, pero no se destruye, solo se transforma.
En base a lo desarrollado anteriormente, podemos afirmar que existen infinitas posibilidades para que los ciberdelincuentes lleven a cabo sus campañas de suplantación de identidad. Con el paso del tiempo estas se vuelven más sofisticadas y aumentan las posibilidades de caer en ellas.
Se puede observar que las argucias de los criminales se adaptan a las necesidades de los usuarios, es decir, dependiendo de la época del año, abundan unas modalidades de phishing u otras. Por tanto, se puede decir que los ciberdelincuentes se mimetizan con los acontecimientos temporales y sociales.
Los empleados deberán estar atentos a estos phishing más comunes para no elevar la cifra de usuarios afectados. Por su parte, a autónomos y empresas que trabajen mediante BYOD se les recomendará estar especialmente alerta. Trabajar con dispositivos personales aumenta exponencialmente el riesgo de sufrir brechas de seguridad en las empresas.
Se recomienda prestar atención a los emails recibidos para no ser víctimas de un ataque de tipo phishing. A continuación, se expone el siguiente checklist con una serie de pautas para prevenir de este tipo de ataques:
Recuerda que puedes contactar con el INCIBE a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o del formulario de contacto (seleccionando la opción de usuario de empresa o profesional) que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.
Seguidamente paso a detallar información sobre VirusTotal, un sistema para analizar malware a través de la inteligencia artificial (IA).
El desarrollo de herramientas avanzadas con inteligencia artificial trae consigo una serie de riesgos que los ciberdelincuentes pueden usar para cometer delitos. Sin embargo, la IA también puede emplearse para evitar ciberataques como es el caso Virus Total, cuyo origen es español y que actualmente ha sido adquirida por Google.
VirusTotal es una herramienta multiplataforma que permite inspeccionar archivos o URL de páginas web, analizándolas con más de 70 escáneres antivirus y servicios de listas de bloqueo de dominios/URL.
¿Cómo utilizar VirusTotal?
VirusTotal es una herramienta online y totalmente gratuita, por lo que para hacer uso de ella simplemente debemos acceder al siguiente enlace desde nuestro navegador: https://www.virustotal.com. Lo primero que veremos será una página similar a la siguiente
:Una vez que ingresamos en la web, esta nos ofrece tres pestañas diferentes en las que podemos introducir el fichero/archivo o enlace URL con el que queramos trabajar. Estas tres pestañas son “FILE”, “URL” y “SEARCH”. La elección dependerá del tipo de fichero/archivo o URL que se quiera utilizar.
Debemos escoger la pestaña “FILE” en los casos en los que queramos analizar ficheros/archivos o “URL” en los casos que queramos analizar un enlace web. Una vez seleccionadas una de estas pestañas, y adjuntado el archivo o URL, le damos a la tecla “Enter” de nuestro teclado.
Así pues, la página comenzará a escanear los mismos a través de los 70 antivirus diferentes que han sido diseñados para la identificación de posibles amenazas. Una vez escaneado, obtendremos el resultado del análisis comprobando la seguridad del archivo o de la URL.
En el caso de que haya sido detectado un posible peligro, VirusTotal nos mostrará cuál de los 70 servicios de antivirus que ofrece la plataforma lo ha detectado, como aparece en la siguiente foto:
En la pestaña “DETALLES” podremos observar datos sobre el archivo o URL como, por ejemplo, la fecha de creación del mismo, sus modificaciones, así como también información acerca del tipo de archivo o URL del que se trata.
En la pestaña “LINKS”, podremos observar qué relación existe con otros virus malignos o con otros archivos diferentes.
Por último, en la sección de resultados de “FILE” encontraremos la pestaña “COMUNIDAD”, la cual es una manera de colaborar entre usuarios para la detección de infecciones en archivos y URL. A través de ella, los usuarios registrados pueden dejar comentarios. VirusTotal actualiza con frecuencia las firmas de malware, ya que las distribuyen las empresas de antivirus, lo que garantiza que el servicio utilice los conjuntos de firmas más recientes.El escaneo de sitios web se realiza, en algunos casos, consultando bases de datos de proveedores que se han compartido con VirusTotal y almacenadas, y, en otro casos, mediante consultas API a la solución de una empresa antivirus. Así pues, tan pronto como un colaborador de VirusTotal incluye un archivo o URL en la lista negra, se refleja inmediatamente en los veredictos que enfrentas lo usuarios.
VirusTotal no solo nos informa si un antivirus detecta un archivo enviado como malicioso, sino que también muestra la etiqueta de detección de cada motor. Lo mismo ocurre para los escáneres de URL, pues la mayoría ditinguirán entre sitios de malware, phising, sospechos, etc.
No debemos olvidar que el Responsable del Tratamiento deberá aplicar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuada al riesgo, por lo que el uso de herramientas con VirusTotal, entre otras, podrá ayudarnos a evitar que se produzca una brecha de seguridad y que se ponga en riesgo los derechos y libertades de los interesados.
Tened siempre en cuenta que toda la información que necesitemos sobre prevención de ataques cibernéticos la podemos encontrar en el Instituto Nacional de Ciberseguridad (INCIBE).
A continuación nos ocupamos de la práctica de suplantación de identidad a través del correo electrónico, conocida como email spoofing.
¿Qué es el spoofing?
El spoofing, término inglés que significa “falsificar”, es una técnica de suplantación de identidad que se utiliza para engañar a los destinatarios, haciéndose pasar por otra persona o entidad. Una de las modalidades más comunes para llevar a cabo el spoofing es a través del correo electrónico.
Cada día son enviados miles de correos electrónicos fraudulentos, los cuales muchos de ellos se interceptan por los filtros antispam, pero algunos logran entrar a las bandeja de entrada de nuestros correos electrónicos. Para identificar este tipo de ataques, existen varios elementos en los que podemos centrarnos, y uno de los más remendados es verificar el remitente del correo. Sin embargo, ya no es suficiente esta medida pues cada vez es más común que el correo del remitente haya sido suplantado mediante técnicas de spoofing.
¿Cómo funciona?
Lo primero que debemos tener en cuenta es que este tipo de ataques se puede presentar de las siguientes formas:
- Usuarios que reciben correos de contacto conocidos y confían: aunque recibamos correos electrónicos de contactos conocidos, es importante que tengamos precaución pues los ciberdelincuentes pueden suplantar identidades y enviar correos maliciosos en su nombre. Lo recomendable es preguntar directamente a la persona en lugar de responder al email.
- Usuarios que reciben correos fraudulentos que se envían en su propio nombre: en algunas ocasiones, los usuarios reciben correos que parecen ser enviados desde su propio correo electrónico.
- Usuarios o empresas cuyas direcciones de correo electrónico son utilizadas en los ataques de spoofing: éstos son utilizados para engañar a los destinatarios, haciéndoles creer que un correo procede de una persona o entidad concreta cuando en realidad no es así. Ello podría acarrear a dichas personas o entidades daños en su reputación, privacidad o seguridad, ya que los mensajes fraudulentos parecen provenir de ellos y pueden acarrear acciones perjudiciales en su nombre.
- Usuarios destinatarios o receptores de los correos electrónicos fraudulentos: estas personas o entidades pueden ser engañadas o manipuladas por los atacantes, quienes suplantan la identidad de otras de confianza, de tal manera que pueden ser inducidas a proporcionar información de carácter confidencial, como podrían ser contraseñas, números de cuentas o datos personales o, incluso, engañadas para realizar acciones como transferencias de dinero o descarga de archivos maliciosos en sus dispositivos.
El spoofing se caracteriza por reemplazar el correo electrónico original del atacante por el de la víctima, ya sea un usuario, entidad o servicio.
Esta suplantación se debe a que el protocolo de correo simple (SMTP), que es el principal protocolo utilizado en el envío de correos electrónicos, no incorpora mecanismos de autenticación. Quien tenga conocimientos en informática puede manipular las cabeceras del correo, modificando la información que recibimos, como es el correo del remitente. Por lo que el atacante puede enviarnos un mensaje suplantando a quien quiera.
¿Cómo saber si un correo procede realmente de quien aparenta ser?
Estar atento a los siguientes indicadores resulta importante para poder identificar posibles casos de correos spoofing y evitar caer en las trampas del ciberdelincuente:
- Verificar la autenticidad del remitente: revisar cuidadosamente la dirección de correo electrónico del remitente para poder detectar cualquier irregularidad o discrepancia en comparación con la información conocida y esperada.
- Revisar la cabecera del correo, para comprobar de quién procede realmente el correo electrónico:
• Gmail:
- Inicia sesión en tu cuenta de Gmail.
- Abre el correo en cuestión.
- Haz clic en los tres puntos verticales en la esquina superior derecha.
- Selecciona "Mostrar original" en el menú desplegable. Se mostrará el código fuente del correo con la cabecera completa, donde podrás buscar la línea "From:" (De:) para ver la dirección del remitente.
• Outlook:
- Abre el correo electrónico en Outlook.
- Haz clic con el botón derecho del ratón en el mensaje y selecciona "Opciones de mensaje".
- Busca el campo "Cabecera de Internet". La cabecera mostrará detalles sobre el origen del correo electrónico. Puedes copiar la información de la cabecera para analizarla o compartirla con expertos si tienes dudas sobre la autenticidad o seguridad del correo electrónico.
• Yahoo Mail:
- Inicia sesión en tu cuenta de Yahoo Mail.
- Abre el correo electrónico que quieres investigar.
- Haz clic en el icono "Más opciones" (tres puntos verticales) en la esquina superior derecha.
- Selecciona "Ver mensaje completo" o "Ver origen del mensaje".
De igual forma, es aconsejable:
- Analizar el contenido del mensaje. Presta atención a cualquier solicitud urgente o inusual que implique la divulgación de información sensible o acciones rápidas y desconfía de los correos que generen un sentido de urgencia excesivo.
- Examinar enlaces y adjuntos. No cliques en enlaces sospechosos sin antes verificar el origen y comprobar que sean seguros. Verifica la autenticidad del sitio web. Si te redirigen a una página web, comprueba su legitimidad observando la URL para ver si coincide con el sitio y busca señales de seguridad, como un candado en la barra de direcciones o el uso de “https” en lugar “http”.
¿Cómo protegerse de esta amenaza?
Aun aplicando diferentes medidas de seguridad, seguiremos recibiendo correos electrónicos malintencionados, por lo que deberemos tener en cuenta algunos puntos para no ser víctima de ataques y que se produzca una brecha de seguridad en el tratamiento y un riesgo para los derechos y libertades de los interesados:
- Evita abrir archivos adjuntos de correos sospechosos.
- Si el correo aplica mucha urgencia o peligro por una determinada situación, se debe ser extremadamente cuidadoso y visitar la web directamente desde el navegador, nunca a través del enlace proporcionado.
- Tener instalado un antivirus actualizado y con las funciones relacionadas con el correo activas.
- Mantener el software actualizado. Asegúrate que los sistemas operativos y programas de seguridad se encuentren actualizados, ya que las actualizaciones suelen incluir parches y soluciones a vulnerabilidades conocidas.
- Bloquear usuarios de los que puedas sospechar. Si tras el filtro, el correo del atacante consigue entrar en nuestra bandeja de entrada, inclúyelo en la lista negra de nuestro cliente de correo al remitente.
Tened en cuenta que podéis usar la herramienta de VirusTotal para detectar enlaces y archivos maliciosos para garantizar un nivel de seguridad adecuado al tratamiento.
La herramienta Asesora Brecha tiene como objetivo ayudar a los responsables de tratamiento a decidir si deben notificar una brecha de datos personales a la AEPD mientras que Comunica-Brecha ayuda a los responsables en la toma de decisiones ante la obligación de comunicar una brecha de datos personales a los afectados.
Tras la última actualización de las dos herramientas, tanto los responsables como los delegados de protección de datos (DPDs) tienen la posibilidad de descargar un informe completo con las respuestas consignadas en la herramienta y el resultado obtenido.
De esta manera, podrán completar en el informe la información básica sobre el tratamiento afectado por la brecha y conservar el informe como parte de la documentación interna sobre la misma.
Además, el informe realizado a través de Comunica-Brecha incluye una plantilla para una posible comunicación a los afectados que los responsables del tratamiento podrán rellenar y utilizar para garantizar que la comunicación a los afectados cumple con la información mínima exigida en el art. 34 del Reglamento General de Protección de Datos.
Asesora Brecha
El RGPD establece la obligación que tienen los responsables que tratan datos de carácter personal de notificar a la autoridad de control competente la existencia de una brecha de datos, sin dilación indebida y en un plazo máximo de 72 horas desde que hayan tenido constancia de la misma, salvo que sea improbable que dicha brecha constituya un riesgo para los derechos y libertades de los interesados.
Esta herramienta asesora sobre lo siguiente:
- quién tiene que notificar;
- qué situaciones se corresponden con una brecha de datos personales y cuáles no;
- cuál es el organismo competente (la AEPD como autoridad principal, autoridades autonómicas de protección de datos u otras autoridades de Estados Miembros de la U.E.);
- y si esa brecha de datos personales debe ser notificada o no en función del riesgo mediante el formulario de notificaciones de brechas.
Esta herramienta está ordenada en secciones de tal forma que no sea necesario completar el formulario íntegro en todos los casos (obligación/responsabilidad; brecha; competencia, riesgo, confidencialidad, disponibilidad e integridad). Una vez finalizado, los datos aportados durante el proceso se eliminarán, por lo que la AEPD no podrá conocer la información aportada.
Comunica-Brecha
La AEPD dispone de esta herramienta para comunicar brechas de datos personales a los afectados. Tal y como nos indica el RGPD, todo aquel que sufra una brecha de datos personales deberá comunicárselo a los afectados cuando sea probable que suponga un alto riesgo para sus derechos y libertades.
El propósito de Comunica-Brecha es promover la transparencia y responsabilidad proactiva entre los responsables, de tal forma que los afectados por una brecha puedan conocer qué derechos y libertades pueden estar en riesgo y así poder tomar las medidas oportunas para salvaguardarlos.
Esta herramienta se basa en un breve formulario en el que se recaban detalles que permiten aplicar unos criterios básicos que pueden ser indicativos del riesgo asociado a una brecha de datos personales. Al igual que Asesora Brecha, la AEPD no almacenará los datos consignados durante el proceso.
Una vez completado el formulario y en función de la información que haya sido facilitada, la herramienta ofrece como respuesta tres posibles escenarios: que se deba notificar la brecha de datos personales a los afectados al apreciarse un riesgo alto; que no será necesaria dicha comunicación o que no se puede determinar el nivel de riesgo.
En ningún caso el uso de esta herramienta sustituye la necesaria valoración del nivel del riesgo por parte del responsable, ya que es quien mejor conoce los detalles del tratamiento de datos personales que realiza, las características de los sujetos de datos, las circunstancias de la brecha de datos personales y el resto de los factores que permitirán obtener una valoración del riesgo acertada.
Por último, es muy importante tener en cuenta que en el caso de producirse cualquier incidente relacionado con la protección de los datos personales, por muy pequeño que sea, deberá ser comunicado al Delegado de Protección de Datos para poder determinar el alcance del mismo y dejarlo registrado.
A este respecto, la AEPD y el Ministerio de Consumo lanzaron una campaña con consejos para actuar ante una suplantación de identidad, que puede ser de mucha utilidad.
La Agencia Española de Protección de Datos (AEPD) y el Ministerio de Consumo han lanzado una campaña en redes sociales para difundir entre la ciudadanía qué pasos deben seguir si sufren una suplantación de identidad en estos servicios. Esta campaña coincide con la celebración del Día Internacional de la Protección de Datos, una jornada impulsada por la Comisión Europea, el Consejo de Europa y las autoridades de protección de datos de los Estados miembros de la UE con el objetivo de impulsar entre los ciudadanos el conocimiento de sus derechos en materia de protección de datos.
En España, más de 27 millones de personas poseen perfil en redes sociales, según el último Estudio de redes sociales de IAB, en el que incluyen datos como su nombre, fotografías y otro tipo de información personal. Ello les permite estar en contacto con amigos y conocidos o contribuir a crear un perfil público profesional, si bien la información que se aporta de forma voluntaria en los diferentes servicios de Internet puede ser utilizada por terceros para suplantar la identidad.
La campaña detalla qué pasos se deben seguir para eliminar el perfil falso de la manera más rápida posible, para lo que es necesario contactar en primer lugar con la red social mediante los formularios habilitados a tal efecto. A continuación, se reproducen los enlaces de algunos de los servicios más populares:
- Facebook: reportar una cuenta que se hace pasar por ti, cuentas robadas y cómo reportarlas
- Google: informar de una suplantación
- Twitter: informar sobre una usurpación de identidad
- Instagram: qué hacer si alguien se hace pasar por ti
- Tik Tok: denunciar a un usuario
Si la respuesta recibida por parte de la red social no es satisfactoria, la persona puede formular una reclamación ante la Agencia Española de Protección de Datos a través de la Sede electrónica, acompañando la documentación de haber contactado en primer lugar con la empresa.
¿Y si alguien publica contenidos sexuales o violentos de terceros?
El Canal Prioritario de la Agencia Española de Protección de Datos ofrece una vía rápida y gratuita para denunciar la publicación ilegítima en Internet de contenidos sensibles, sexuales o violentos. Por la especial gravedad de estas situaciones, no es necesario contactar primero con la web o la red social en la que están publicadas.
La solicitud de retirada de fotografías, vídeos o audios de contenido sexual o violento difundidos en Internet sin el consentimiento de la persona afectada puede realizarse a través de este enlace, mientras que en el caso de los menores de 18 años la Agencia ha habilitado una forma de contacto específica para denunciar la difusión de este tipo de contenidos.
La información completa sobre la campaña así como la habilitación de los enlaces comentados anteriormente la podéis encontrar en el siguiente enlace de la página web de la AEPD:
A continuación, listamos y describimos brevemente los tipos de conexiones más utilizados por los usuarios:
- Wi-Fi: conexión inalámbrica que permite conectar tus dispositivos a Internet sin necesidad de cables.
- Ethernet: conexión por cable que proporciona una conexión más estable y rápida generalmente que las redes Wi-Fi.
- Bluetooth: tecnología inalámbrica de corto alcance (inferior a 10 metros) que permite la comunicación entre dispositivos como auriculares, altavoces, smartwatches o teclados, entre muchos otros.
- NFC (Near Field Communication): permite la comunicación inalámbrica entre dispositivos que se encuentran a una distancia corta (inferior a 20 centímetros) y se utiliza comúnmente para transacciones sin contacto (contactless), como pagos móviles.
- VPN: Una VPN (Red Privada Virtual) establece una conexión segura y cifrada entre tu dispositivo y una red privada en Internet. Es útil cuando deseas proteger tu privacidad y seguridad en línea, especialmente al conectarte a redes públicas o al acceder a información confidencial.
Riesgos de las conexiones no seguras
Es fundamental que seas consciente de los riesgos que implica utilizar conexiones no seguras. Te mostramos las principales amenazas a las que podrías exponerte al usar redes cuya configuración desconoces:
Robo de datos personales: los ciberdelincuentes, a través de conexiones inseguras, pueden interceptar y robar información personal como contraseñas, números de tarjetas de crédito o datos de identificación. Esto puede llevar al robo de identidad y al uso fraudulento de dichos datos.
Malware: del mismo modo, los ciberdelincuentes se aprovechan de conexiones no seguras para tratar de infectar dispositivos con malware. Estos programas maliciosos pueden dañar tus archivos, robar información o incluso tomar el control de tu dispositivo.
Suplantación de identidad: este ataque puede suceder cuando un ciberdelincuente intercepta la comunicación entre dos dispositivos, debido a una red insegura, lo que le podría permitir falsificar los mensajes que intercambias poniendo en riesgo la privacidad de tus comunicaciones.
Espionaje y vigilancia: finalmente, entre los riesgos comunes de las conexiones no seguras se encuentra el facilitar que terceros espíen tus actividades en línea. Esto puede comprometer tu privacidad y permitir que obtengan información sobre tus hábitos, preferencias o conversaciones privadas.
Uso de la red para actividades ilegales: el uso ilegal de una conexión a Internet por parte de un ciberdelincuente puede derivar en serios problemas legales para el propietario de la conexión si a través de ella se descarga o distribuye pornografía infantil. También si se descarga o distribuye contenido protegido con derechos de autor (películas, libros, música, software, etc.), compra o venta de drogas, armas, etc.
Configuración del router de casa
Es de suma importancia comprender cómo se configura adecuadamente un router para garantizar así un entorno de red seguro y fiable (Wi-Fi y Ethernet) y evitar así riesgos como que desconocidos se conecten a tu red, que intercepten tus comunicaciones, o exploten vulnerabilidades de tus dispositivos conectados a la Red.
A continuación, se mostrarán las configuraciones más importantes a tener en cuenta:
- Cambia el nombre y la contraseña de la red Wi-Fi: El nombre predeterminado del router puede ser fácilmente identificado por los atacantes. Cambiar el nombre (SSID) y la contraseña de la red Wi-Fi es fundamental para evitar accesos no autorizados.Utiliza contraseñas fuertes que combinen letras, números y símbolos.
- Actualiza el firmware del router: El firmware es el software interno del router. Los fabricantes de estos dispositivos lanzan actualizaciones para corregir vulnerabilidades e implementar mejoras de seguridad. Asegúrate de mantener el firmware actualizado. Si no sabes cómo se hace, haz una búsqueda en Internet por el modelo concreto del router. También puedes tratar de contactar con la operadora de Internet que te proporcionó el router para que te ayuden en este proceso.
- Activa el cifrado de red: El cifrado de red protege la información transmitida a través de tu red evitando que los intrusos intercepten tus datos. Utiliza WPA3 siempre que esté disponible en tu router. En caso de que no sea así, configura WPA2. Si ninguno de los dos está disponible, valora cambiar de router.
- Controla qué dispositivos se conectan a la red: Las direcciones MAC son identificadores únicos para cada dispositivo. Configura tu router para permitir únicamente las conexiones de dispositivos cuyas direcciones MAC hayas autorizado previamente. Esto restringe el acceso a tu red solo a los dispositivos confiables.
- Desactiva la administración remota: Al desactivar la administración remota del router, evitas que los atacantes intenten acceder a la configuración de tu router desde Internet. Esto reduce la posibilidad de que modifiquen la configuración sin tu consentimiento a través de ataques a tus contraseñas.
Redes Wi-Fi públicas o abiertas
Se trata de conexiones, generalmente inalámbricas, disponibles en lugares como cafeterías, aeropuertos o centros comerciales. Son útiles, pero también pueden ser peligrosas. Suelen carecer de medidas suficientes de seguridad y cualquiera puede conectarse a ellas. Esto significa que tu información podría ser interceptada por personas malintencionadas.
Para protegerte al utilizar redes Wi-Fi de estas características, sigue estos consejos:
Utiliza una red privada virtual (VPN) para así forzar el cifrado de tu conexión y proteger tus datos.
Evita acceder a información confidencial, como contraseñas o información bancaria, mientras estés conectado a una red Wi-Fi pública.
Mantén tu dispositivo actualizado con las últimas actualizaciones de seguridad y utiliza un software antivirus confiable.
Desactiva la opción de compartir archivos o impresoras mientras estés conectado a una red pública.
Recuerda que es importante tomar precauciones al utilizar redes Wi-Fi públicas para proteger tu información personal y evitar ser víctima de ataques cibernéticos.
Qué hacer si te has conectado a una red Wi-Fi insegura
Estas son algunas pautas que pueden ser de utilidad:
- Desconéctate inmediatamente de la red.
- Elimínala de la lista de redes guardadas en tu dispositivo para evitar conexiones automáticas en el futuro.
- Desactiva la opción de conexión automática a una red Wi-Fi para evitar, accidentalmente, conexiones a redes inseguras en el futuro.
- Cambia todas las contraseñas que hayas podido utilizar mientras navegabas conectado a la red insegura, en especial, servicios bancarios y de correo electrónico.
Recomendaciones para conexiones a través de Bluetooth
Mantén desactivado el Bluetooth cuando no lo estés usando, de esta manera reduces la exposición del dispositivo a posibles ataques como, por ejemplo, ataques de emparejamiento de dispositivos sin tu conocimiento, ataques de escucha pasiva para espiar el tráfico de información transmitida, o incluso ataques de denegación de servicio enviando una gran cantidad de solicitudes de conexión a tu dispositivo, volviéndolo inestable de esta manera.
Utiliza códigos de acceso seguros. Cuando conectas dos dispositivos por primera vez, normalmente hay que introducir un código de emparejamiento para establecer la conexión segura. Es importante utilizar una combinación alfanumérica compleja, ya que los predeterminados o débiles como “0000” o “1234” son más vulnerables a posibles ataques, y te arriesgas a un emparejamiento no deseado.
Actualiza el firmware y el software en cualquier dispositivo con el que utilices la tecnología Bluetooth. Siempre es recomendable esta acción, ya que con las actualizaciones se suelen corregir vulnerabilidades de seguridad conocidas en los dispositivos.
Desactiva la visibilidad cuando no sea necesaria, así evitarás que otros dispositivos intenten conectarse sin tu permiso.
Evita los emparejamientos automáticos, desactiva esta función para prevenir que otros dispositivos desconocidos se conecten al tuyo sin tu permiso.
Elimina los dispositivos enlazados que ya no utilizas o te resultan desconocidos.
Android:
- Accede a Ajustes.
- Elige el apartado Dispositivos conectados.
- Aparece un listado. Busca el dispositivo a eliminar, y pulsa sobre él.
- Selecciona Olvidar.
iOS:
- Accede a Ajustes.
- Elige el apartado Bluetooth.
- Aparece un listado. Busca el dispositivo a eliminar, y pulsa sobre el icono de i situado a su derecha.
- Selecciona Omitir dispositivo.
MacOS:
- Accede a Ajustes del sistema.
- Selecciona Bluetooth.
- Aparecerá un listado de dispositivos, selecciona el que deseas eliminar.
- Haz clic en Eliminar.
Windows:
- Accede al Menú Windows.
- Escribe Configuración y selecciona dicha opción del menú.
- Después, dirígete primero a Dispositivos y después a Bluetooth y dispositivos.
- Aparecerá un listado de dispositivos, pulsa sobre los tres puntitos que aparecen en el elemento del listado que deseas borrar.
- Selecciona Quitar dispositivo.
- Conéctate a dispositivos de confianza: verifica sus reseñas de seguridad antes de conectar nuevos dispositivos, ya que estos estarán menos expuestos a posibles amenazas.
- Bluetooth de baja energía (BLE): si tu dispositivo es compatible, utilizará automáticamente la versión Bluetooth de baja energía ya que tiene menores riesgos de seguridad en comparación con las versiones anteriores de Bluetooth y consume menos batería.
Recomendaciones para uso de tecnología NFC
- Activa NFC solo cuando sea necesario, es aconsejable tenerlo desactivado para reducir el riesgo de posibles ataques como, por ejemplo, ataques de escucha pasiva o sniffing, en los cuales los atacantes utilizan dispositivos especializados en interceptar y registrar comunicaciones NFC en un área determinada, y aunque no se esté realizando ninguna acción, los datos transmitidos de NFC mientras está activo pueden ser capturados. Hay que tener en cuenta que incluso si no se está realizando ninguna acción, hay aplicaciones que pueden estar enviando información sin que seas consciente de ello y esta puede ser interceptada para intentar robar información sensible de tu dispositivo. Otro ataque al que puedes verte expuesto podría ser que los ciberdelincuentes intenten clonar alguna tarjeta de pago que utilice NFC y esto les permita realizar pagos de manera fraudulenta.
- Evita acercar tu dispositivo a dispositivos desconocidos, de esta manera se reduce el riesgo de ser víctima de carding, es decir, de sufrir posibles transacciones no autorizadas o instalación de software malicioso.
- Utiliza aplicaciones de confianza, asegúrate de descargar aplicaciones oficiales de Play Store o Apple Store, ya que, si instalas y usas aplicaciones de sitios no oficiales, corres el riesgo de que sean falsas y contengan malware diseñado para robar tu información personal y realizar pagos no autorizados.
- Mantén tu dispositivo protegido con contraseña, PIN o mecanismos biométricos para evitar que puedan realizar transacciones con esta tecnología si te roban tu dispositivo.
- Revisa tus transacciones con regularidad si usas esta tecnología para realizar pagos, para detectar posibles pagos no autorizados.
- Actualiza tu dispositivo para protegerte con las ultimas correcciones de seguridad y mitigar posibles vulnerabilidades que pudieran aparecer con relación a NFC.
- Evita leer o interactuar con dispositivos NFC desconocidos o en los que no confías.
- El uso de carteras digitales seguras es recomendable para añadir una capa adicional de seguridad al realizar pagos a través de NFC, ya que puedes almacenar tus tarjetas en carteras digitales y hacer los pagos de manera segura a través de NFC. Esto es aplicable en dispositivos móviles y tablets, ya que puedes almacenar información bancaria en estos dispositivos y realizar pagos a través de tu dispositivo móvil utilizando NFC cómo si estuvieras utilizando una tarjeta física.
Red Privada Virtual (VPN)
Elige una herramienta VPN de confianza que tenga buena reputación y opiniones de usuarios.
Configura tu VPN para que se conecte automáticamente cuando inicies sesión en tu dispositivo o te conectes a una red Wi-Fi pública.
Utiliza el protocolo VPN adecuado, ya que puedes elegir entre varios protocolos de seguridad dependiendo de tus necesidades.
Si la seguridad es tu principal preocupación, es posible que desees optar por OpenVPN o IKEv2/IPsec.
Si necesitas una conexión rápida y estable, puedes optar por un protocolo que minimice la sobrecarga y el retardo, como IKEv2/IPsec o WireGuard.
En caso de necesitar mayor compatibilidad con diferentes dispositivos o sistemas operativos, IKEv2/IPsec es ampliamente compatible.
Conexión a servidores seguros. Hay algunos indicadores que nos pueden ayudar a elegir entre un servidor u otro. Ejemplos:
La reputación del proveedor: busca reseñas de usuarios expertos sobre su uso, verifica su política de registro, ya que no debería almacenar los registros de tu actividad en dicho servidor.
Ubicación del servidor, ya que hay países que tienen leyes de privacidad más estrictas que otros.
Presta especial atención a servidores gratuitos, ya que pueden ser operados por entidades maliciosas.
Actualiza el software VPN, para que se corrijan vulnerabilidades conocidas y mejorar la seguridad de la red.
Activación de kill switch. Esta opción es recomendable si la VPN la ofrece, así conseguirás que tu conexión a Internet se corte si tu conexión VPN se cae.