Autor: Jordi Vegueria Ocáriz, abogado en LEXITER Abogados
La vida cotidiana de una comunidad de vecinos está plagada de correos electrónicos reenviados, actas colgadas en tablones y listados de morosos pegados en el portal. Todo parece inofensivo… hasta que un propietario decide acudir a la Agencia Española de Protección de Datos (AEPD). Entonces descubrimos que lo que algunos consideran “información comunitaria” puede constituir una cesión no autorizada de datos personales y acarrear sanciones nada despreciables.
1. Marco normativo aplicable
- Reglamento (UE) 2016/679 (RGPD)
Art. 6.1 determina que todo tratamiento debe basarse en una de las seis causas de legitimación. - Ley Orgánica 3/2018, de Protección de Datos y garantía de los derechos digitales (LOPDGDD)
Complementa el RGPD y concreta obligaciones y régimen sancionador. - Ley 49/1960, de Propiedad Horizontal (LPH)
Regula el funcionamiento interno de la comunidad y la figura del presidente/administrador.
La AEPD recuerda en sus FAQ que “las comunidades de propietarios están sometidas íntegramente a la normativa de protección de datos”aepd.es.
2. ¿Cuándo hay comunicación o cesión de datos?
Reenviar a todos los propietarios un correo que contiene nombre, DNI y quejas de un vecino no es un tratamiento interno; implica comunicar datos a terceros (el resto de comuneros). Si esa comunicación no se apoya en una base legitimadora clara —p. ej., el cumplimiento de una obligación legal o un interés legítimo ponderado—, se incurre en infracción del art. 6 RGPD.
Casuística reciente de la AEPD
| Resolución AEPD | Hechos sancionados | Multa |
|---|---|---|
| Comunidad publica listados de morosos en tablón sin ocultar DNI | Vulneración de art. 6.1 y principio de minimización | 1.000 € |
| Presidente reenvía a todos los vecinos escritos con datos y firma de un propietario | Cesión sin legitimación; sanción por art. 6.1 | 1.000 € |
Aunque las cuantías parezcan pequeñas, la infracción se califica como grave (art. 83.5 RGPD) y la multa puede escalar hasta los 20 M € o el 4 % del volumen de negocio —la AEPD atempera el importe atendiendo a la capacidad económica de la comunidad—.
3. Responsabilidad del presidente y del administrador
- Presidente – Representa a la comunidad (art. 13 LPH). Cuando reenvía un correo con datos personales actúa como responsable del tratamiento.
- Administrador de fincas – Normalmente es encargado del tratamiento; debe seguir instrucciones documentadas de la comunidad (contrato de encargo art. 28 RGPD). Si envía la información por su cuenta, puede convertirse en corresponsable.
En 2023 la AEPD recordó que “los cargos de la junta no están exentos de responsabilidad cuando difunden sin necesidad datos de un propietario” (Resol. PS/00389/2023).
4. Bases de legitimación posibles y sus límites
| Base jurídica (art. 6 RGPD) | ¿Admite la difusión global? | Ejemplo válido | Ejemplo ilícito |
|---|---|---|---|
| Obligación legal | Solo si una norma lo exige | Convocar junta con nombre y coeficiente de cada propietario | Reenviar DNI del vecino que impugna un acta |
| Interés legítimo | Requiere prueba de necesidad + test de ponderación | Listado de morosos para ejercer reclamación judicial | Difundir nombre y piso de moroso en el ascensor |
| Consentimiento | Sí, pero debe ser libre y específico | Propietario firma autorización para divulgar su email | “Silencio” o cliquear “responder a todos” |
La AEPD insiste: “La comunicación debe limitarse a datos adecuados, pertinentes y necesarios”. El mero interés informativo de otros vecinos no supera el test de ponderación si existe un medio menos intrusivo (p. ej., remitir solo referencia catastral en lugar del nombre completo).
5. Derechos del afectado y vías de reclamación
- Derecho de supresión o limitación (arts. 17-18 RGPD).
- Reclamación ante la AEPD (art. 77 RGPD).
- Acción de responsabilidad civil por intromisión ilegítima en el honor o la intimidad (arts. 7-9 LO 1/1982).
- Acción en vía penal si la difusión es masiva y dañosa (art. 197 CP, revelación de secretos).
6. Buenas prácticas para la comunidad
- Cláusula de privacidad en cada convocatoria y acta, indicando finalidad y base legal.
- Lista de distribución oculta (CCO) o plataforma privada con acceso restringido.
- Política interna que prohíba reenviar correos o documentos sin anonimizar.
- Formación mínima al presidente y vocales sobre RGPD.
- Contrato de encargado con el administrador que detalle medidas técnicas y organizativas.
7. Conclusión
Difundir el DNI o el email de un vecino porque “todo el mundo lo necesita saber” es hoy un riesgo cierto: la AEPD sanciona con rapidez y el daño reputacional para la comunidad y sus cargos es inmediato. El cumplimiento proactivo del RGPD —más que una carga— es la mejor defensa frente a reclamaciones y conflictos vecinales.
En LEXITER Abogados llevamos años asesorando a comunidades de propietarios y administradores de fincas para implantar protocolos de privacidad, gestionar reclamaciones ante la AEPD y representarles en procedimientos sancionadores.
¿Necesita ayuda para blindar su comunidad? Contacte con nosotros: LEXITER Abogados – especialistas en Derecho de Propiedad Horizontal y Protección de Datos.
https://lexiterabogadosonline.com/