Las sanciones más caras que ha puesto la AEPD a comunidades

por | Dic 5, 2025 | Blog | 0 Comentarios

Administrador asesorando a vecinos sobre protección de datos

Las comunidades de propietarios están sujetas al RGPD (Reglamento General de Protección de Datos) desde mayo de 2018. Sin embargo, seis años después, muchas comunidades y administradores siguen desconociendo sus obligaciones específicas y cometen infracciones graves que derivan en sanciones de la AEPD (Agencia Española de Protección de Datos) que oscilan entre 3.000€ y 20.000€ según gravedad y reincidencia.

Este artículo analiza casos reales y recientes de sanciones impuestas a comunidades españolas, explica en detalle qué hicieron mal, por qué la AEPD las sancionó y, lo más importante, cómo evitar cometer los mismos errores costosos en tus comunidades.

La AEPD sanciona activamente a comunidades

Existe la falsa percepción de que la AEPD solo sanciona a grandes empresas. La realidad es diferente: entre 2020 y 2024, la AEPD ha sancionado a más de 200 comunidades de propietarios españolas con multas que totalizan más de 1,5 millones de euros. El importe medio de sanción es de 7.500€, cantidad significativa para presupuestos comunitarios ajustados

Las sanciones no son aleatorias: la AEPD actúa mayoritariamente por denuncias de propietarios o vecinos descontentos. Un solo vecino con conocimientos básicos de RGPD puede detectar incumplimientos evidentes y denunciar a la comunidad. La AEPD está obligada a investigar toda denuncia formal recibida.

Caso 1: Videovigilancia sin cumplir requisitos RGPD

Técnico instalando cámaras con enfoque legal

Los hechos del caso

Comunidad de 28 viviendas en Madrid instaló sistema de 6 cámaras de videovigilancia cubriendo portal, garaje, piscina y zonas comunes. El sistema funcionaba correctamente desde perspectiva técnica. Sin embargo, la comunidad no cumplió requisitos RGPD. Un propietario denunció. Sanción impuesta: 8.000€.

Infracciones detectadas por la AEPD

  • Ausencia de carteles informativos homologados según modelo oficial AEPD
  • Sin registro de actividades de tratamiento de datos
  • Sin evaluación de impacto de privacidad (obligatoria cuando videovigilancia puede afectar derechos)
  • Grabaciones conservadas durante 90 días (máximo legal: 30 días)
  • Algunas cámaras enfocaban parcialmente zonas privadas (terrazas)
  • Sin procedimiento documentado de acceso a grabaciones
  • Sin designación formal de responsable del tratamiento

Cómo evitar esta sanción

El cumplimiento legal en videovigilancia requiere:

  1. Aprobar en junta la instalación, detallando finalidad (seguridad), ubicación y periodo de conservación
  2. Instalar carteles oficiales AEPD visibles en todos los accesos con código QR informativo
  3. Limitar grabación estrictamente a zonas comunes, nunca privadas
  4. Configurar borrado automático a los 30 días máximo
  5. Realizar evaluación de impacto si grabación incluye zonas sensibles
  6. Contratar instalador que certifique cumplimiento RGPD
  7. Designar responsable comunitario que gestione acceso a grabaciones
  8. Documentar procedimiento: quién accede, cuándo, por qué motivo

Coste de cumplimiento correcto: 200-400€ (carteles, evaluación, documentación). Coste de no cumplir: 8.000€ de sanción.

Caso 2: Cesión de datos sin consentimiento

Los hechos del caso

Comunidad de 56 viviendas en Barcelona compartió la base de datos completa de propietarios (nombres, apellidos, teléfonos, emails, pisos, coeficientes de participación) con empresa de telecomunicaciones para que ofreciera servicios de internet y telefonía. La empresa contactó a todos los propietarios. Varios denunciaron no haber autorizado cesión de sus datos. Sanción: 12.000€, la mayor impuesta a comunidad por este motivo.

Por qué fue sancionada

La cesión de datos personales a terceros (en este caso, la empresa de telecomunicaciones) requiere consentimiento expreso, informado y documentado de cada titular. No basta que la junta lo apruebe: cada propietario debe consentir individualmente. La comunidad cedió datos sin este consentimiento, violando directamente el artículo 6 del RGPD.

Además, el consentimiento debe ser específico: el propietario debe saber exactamente qué datos se ceden, a quién, para qué finalidad y durante cuánto tiempo. Un consentimiento genérico («acepto cesión de datos») no es válido.

Cómo hacerlo correctamente

Si la comunidad quiere facilitar servicios de terceros:

  1. Crear formulario opt-in específico detallando qué datos se cederán y a quién
  2. Distribuir formulario a todos los propietarios explicando claramente beneficios y cesión
  3. Solo compartir datos de quienes consintieron expresamente
  4. Conservar formularios firmados como evidencia de consentimiento
  5. Permitir revocación de consentimiento en cualquier momento

Alternativa sin cesión: la empresa distribuye información genérica (folletos, email general) y los propietarios interesados contactan directamente.

Caso 3: Publicación de morosos en tablón público

Cambio de presidente con control de accesos

Los hechos del caso

Comunidad de 32 viviendas en Sevilla publicó en tablón de anuncios del portal (visible para cualquier vecino, visitante o repartidor) listado detallado de morosos con nombres completos, números de piso y cantidades exactas adeudadas individualmente. La intención era presionar socialmente para cobrar. Un moroso denunció. Sanción: 6.000€.

La infracción específica

Publicar información sobre deudas individualizadas constituye tratamiento de datos personales sensibles. El RGPD permite informar sobre morosidad solo a quienes tienen legítimo interés: la junta de propietarios. Difundir esta información públicamente vulnera el principio de minimización de datos y expone al moroso a humillación pública innecesaria para la finalidad del cobro.

La comunicación correcta de morosidad:

  • En junta: informar cantidad total agregada («La comunidad acumula 15.000€ de impagos»)
  • Si es necesario identificar morosos, hacerlo solo en contexto de junta ordinaria/extraordinaria
  • Nunca publicar en tablones accesibles a terceros
  • Comunicaciones individuales a morosos: siempre en sobre cerrado
  • Registro de morosos: accesible solo a presidente y administrador

El objetivo (cobrar deudas) es legítimo. El método (humillación pública) no lo es.

Caso 4: Acceso no autorizado prolongado a datos

Los hechos del caso

Expresidente de comunidad de 45 viviendas en Valencia continuó accediendo al email corporativo de la comunidad y a documentos en Google Drive durante 8 meses después de cesar en el cargo. Consultó actas, presupuestos, correspondencia con propietarios. El nuevo presidente detectó actividad sospechosa en logs, investigó y denunció. Sanción: 10.000€.

Fallo de seguridad sancionado

La comunidad (representada por nuevo presidente) era responsable de garantizar que solo personas autorizadas accedieran a datos personales. Al no revocar inmediatamente los accesos del expresidente, incumplieron el principio de integridad y confidencialidad del RGPD. La sanción se impuso a la comunidad, aunque el expresidente también fue denunciado penalmente por acceso indebido a sistema informático.

Protocolo correcto de cambio de responsables

Al cambiar presidente o administrador:

  1. Cambiar todas las contraseñas el mismo día del cambio (email, software gestión, servicios cloud)
  2. Revocar accesos del anterior responsable en todos los sistemas
  3. Auditar permisos de acceso de todos los usuarios
  4. Activar autenticación de dos factores (2FA) en cuentas críticas
  5. Documentar formalmente la transferencia de responsabilidades
  6. Notificar al administrador el cambio para actualización de contactos

Usar contraseñas robustas y únicas (mínimo 12 caracteres, mayúsculas, minúsculas, números, símbolos). Cambiarlas cada 6-12 meses. Nunca compartir contraseñas por WhatsApp o email.

Consecuencias adicionales de las sanciones

Más allá del impacto económico directo, las sanciones AEPD generan consecuencias adicionales importantes:

  • Daño reputacional del administrador (las sanciones trascienden en el sector)
  • Publicación en web de AEPD si superan 10.000€ (anonimizadas pero identificables por contexto)
  • Conflictos internos en la comunidad entre propietarios
  • Posibles reclamaciones de responsabilidad al administrador si no asesoró correctamente
  • Pérdida de confianza de propietarios en gestión de la comunidad

Preguntas frecuentes

¿Quién paga la multa cuando sancionan a la comunidad?

Formalmente la paga la comunidad de propietarios (es la responsable del tratamiento de datos). Sin embargo, el administrador puede ser responsable solidario si no demostró diligencia profesional en asesorar sobre cumplimiento RGPD. Si el administrador advirtió por escrito del incumplimiento y la junta decidió ignorarlo, responsabilidad recae en la comunidad. Si el administrador ni siquiera informó de obligaciones RGPD, puede compartir responsabilidad.

¿Se pueden recurrir las sanciones de la AEPD?

Sí, mediante recurso de reposición en plazo de 1 mes desde notificación. Sin embargo, las probabilidades de éxito son bajas (menos del 20%) si la infracción está documentada. La AEPD fundamenta sólidamente sus resoluciones. Mejor estrategia: prevenir incumplimientos que recurrir sanciones.

¿Cómo puedo saber si mi comunidad cumple RGPD?

Contrata una auditoría RGPD especializada en comunidades de propietarios (coste: 300-700€ dependiendo complejidad). Empresas como CIAX ofrecen este servicio, identificando incumplimientos concretos y proponiendo soluciones específicas documentadas. La inversión es mínima comparada con una sanción de 6.000-12.000€.

¿Las sanciones se hacen públicas?

Sanciones superiores a 10.000€ se publican (anonimizadas) en la web oficial de la AEPD. Aunque no aparece el nombre, el contexto permite identificar la comunidad a quienes conocen los hechos. Esto genera publicidad negativa para el administrador y la comunidad, dificultando relaciones futuras y captación de clientes para el administrador.

¿Es obligatorio tener un delegado de protección de datos?

Para comunidades normales no es obligatorio. Solo es obligatorio cuando el tratamiento de datos es masivo y sistemático. Comunidades estándar no alcanzan este umbral. Sin embargo, sí es recomendable designar un responsable interno (presidente o administrador) que se forme en cumplimiento RGPD básico.

Las sanciones AEPD a comunidades son reales, frecuentes y costosas. Entre 2020-2024, más de 200 comunidades han sido sancionadas con multas que totalizan más de 1,5 millones de euros. El importe medio de sanción (7.500€) representa varios meses de presupuesto de comunidades pequeñas.

El cumplimiento RGPD no es opcional ni excesivamente complejo si se hace profesionalmente. La inversión en asesoramiento especializado (300-800€ anuales) es insignificante comparada con una sanción de 6.000-12.000€ más el daño reputacional asociado.

Como administrador de fincas, tu responsabilidad profesional incluye asesorar proactivamente a las comunidades sobre estos riesgos y proponer medidas concretas de cumplimiento. No hacerlo puede derivar en responsabilidad compartida cuando llegue la sanción. Proteger a tus clientes de sanciones AEPD es parte del servicio profesional que deben esperar de ti.

Share Button

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *