BOLETÍN DE ACTUALIDAD DE DERECHO CIVIL

Datos Personales de Vecinos Accesibles en Portal Web: Sanción por Falta de Seguridad

La Agencia Española de Protección de Datos (AEPD) ha resuelto un caso que pone de manifiesto los riesgos de exponer información sensible de una comunidad de propietarios sin las medidas de seguridad adecuadas.

El Problema: Portal Web sin Protección

Una comunidad de vecinos utilizaba un portal web para compartir documentación comunitaria entre propietarios e inquilinos. Sin embargo, este sistema presentaba graves deficiencias de seguridad que dejaban expuestos datos personales de todos los residentes.

Información Accesible en el Portal

El portal contenía documentos con datos personales de los propietarios:

  • Nombres y apellidos completos
  • Portal de residencia
  • Información sobre impagos
  • Cuentas bancarias
  • Actas de juntas vecinales
  • Certificados y documentación legal de la comunidad

Las Vulnerabilidades Detectadas

La investigación de la AEPD identificó múltiples fallos de seguridad críticos:

1. Falta de cifrado: El portal utilizaba protocolo HTTP en lugar de HTTPS, lo que significa que toda la información viajaba sin cifrar por internet. Cualquier persona con conocimientos básicos podría interceptar estos datos.

2. Sin certificado SSL: La web carecía del certificado de seguridad necesario. Los navegadores mostraban advertencias de “sitio no seguro” al acceder.

3. Credenciales compartidas: Todos los vecinos accedían con el mismo usuario y contraseña, que además se distribuía físicamente en las actas depositadas en los buzones de correo del edificio.

4. Posibilidad de bloqueo: Cualquier vecino podía cambiar la contraseña común, dejando sin acceso al resto de residentes.

La Reclamación

Un vecino denunció la situación ante la Policía Nacional y posteriormente ante la AEPD, alertando de que esta configuración permitía el acceso no autorizado a información sensible y vulneraba el derecho a la protección de datos de todos los propietarios.

Respuesta de la Administración de Fincas

La administración argumentó que:

  • Solo incluían datos necesarios para la gestión comunitaria según la Ley de Propiedad Horizontal
  • No había cuentas bancarias de propietarios individuales, solo de la comunidad
  • Disponían de servicio de consultoría en protección de datos externalizado

Sin embargo, estos argumentos no eximían del cumplimiento de las medidas técnicas de seguridad obligatorias.

La Resolución

Sanción económica: 600 euros (tras aplicar reducciones por reconocimiento de responsabilidad y pago voluntario).

Medidas obligatorias a implementar en 6 meses:

  • Instalar certificado SSL válido y migrar a protocolo HTTPS
  • Establecer sistema de usuarios y contraseñas individualizadas
  • Implementar políticas adecuadas de gestión de credenciales

https://www.aepd.es/resoluciones/PS-00322-2024.pdf

Post Views: 56
Back to top arrow