RESOLUCIÓN: R/02134/2009

Transcripción

1 1/12 Procedimiento Nº PS/00216/2009 RESOLUCIÓN: R/02134/2009 En el procedimiento sancionador PS/00216/2009, instruido por la Agencia Española de Protección de Datos a R&O DEL CASTILLO, SLL, vista la denuncia presentada por M.M.M. y en base a los siguientes, ANTECEDENTES PRIMERO: Con fecha de 11/08/2008 tuvo entrada en esta Agencia una denuncia de D. M.M.M. en la que declara que los administradores de fincas R&O DEL CASTILLO SLL entregaron a los propietarios que asistieron el 13/05/2008 a la Junta de Propietarios del Edificio ******* en la (C/.), Urbanización de *******, en *******, junto con las cuentas de la Comunidad, listados con los nombres y apellidos y los códigos completos de las cuentas bancarias de los propietarios que tienen domiciliado el abono de la cuota a la Comunidad. El denunciante manifiesta que se entregaron a todos los propietarios que asistieron a la reunión, unas hojas de información sobre las cuentas de la comunidad, entre esas hojas pusieron 6 hojas con los nombres, apellidos y los códigos de cuenta cliente. Aporta copia de un listado en el que figura el logo R&O DEL CASTILLO SLL y en el campo presentador de los recibos, así como su dirección, su CIF y la cuenta de ingreso. Los recibos corresponden a la cuota enero 2008 de la COMUNIDAD *******, que figura como ordenante. Como fecha de impresión consta 2/1/2008 y como fecha de emisión de los recibos 01/01/2008. En él aparecen los nombres y apellidos de 34 propietarios, especificando para cada uno de ellos el número e importe del recibo y el código de cuenta bancaria completo. Figuran los datos del denunciante y de una cuenta bancaria, según certificado de Caja Canarias, coincidente con el que consta en Listado de disco de domiciliados. SEGUNDO: El Director de la Agencia Española de Protección de Datos, tras la recepción de la denuncia, ordenó a la Subdirección General de Inspección de Datos la realización de las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados. 1) Dentro de las actuaciones realizadas se tuvo conocimiento por información requerida a R&O DEL CASTILLO SLL, que en la Junta de Propietarios de la Comunidad de la (C/. ) Edificio *******, en el *******, celebrada el lecha 13/05/2008, se entregó a los propietarios presentes ó personas autorizadas por estos, tal como se hace constar en la propia acta que también se adjunta, un dossier con información documental de documentos propios de la gestión sólo de la Comunidad de Propietarios. Continua manifestando, que la documentación aportada en su totalidad son documentos propios de la contabilidad y gestión de la Comunidad de Propietarios del Edificio *******, del *******, que fueron entregados para la posibilidad de comprobación por los propios comuneros ó sus representantes debidamente autorizados, y debidamente indicados en el Acta. 2) Que no existía en la documentación entregada documentos personales de ningún tipo. 3) Que el punto dos del orden del día, refería la entrega de dicho dossier, que fueron entregados, a la recepción de dicha documentación. El punto dos del ACTA (una vez celebrada) contiene información sobre gestiones y otras realizadas por la Administración Se resumieron las tareas realizadas por la

2 2/12 administración descritas en comunicado enviado a todos los propietarios con anterioridad. El 3. Información de los extractos contables y bancarios de cuentas de gastos e ingresos del ejercicio económico, se entregaron extractos contables y bancarios a los asistentes. Proponen nombrar un censor de cuentas, elegido entre los comuneros para verificarlas. Se vota a favor de la propuesta, quedando pendiente de designar la persona que llevara a cabo esta función. Manifiestan que uno de los asistentes cuyo nombre no recordamos, indicó al examinarla que en la misma aparecía un documento donde constaban nombres y números de cuentas corrientes de los comuneros (sólo de aquellos que están domiciliados sus pagos de cuotas). En el mismo acto, se le contestó que el documento que indicaba, era una domiciliación bancaria, correspondiente al cobro de los comuneros expresamente de la cuotas regulares del mes de enero de 2008, y que habitualmente proceden a pagar las cuotas regulares por sus cuentas corrientes. Por consiguiente, según el Administrador, dicha copia era de un documento contable de la empresa, y por tanto no podía ser entendido como que afectara a datos personales. 4) Dicho documento se corresponde con el que se presentó en formato de disco a la entidad bancaria, correspondiente al cargo de las cuotas del mes de enero, y que se entregó en la entidad bancaria junto con el disco para su domiciliación, según detalle del mismo. 5) Que se debatió en dicho momento, sobre la posibilidad de examinar todos los dossieres, y quitar la posible copia que pudiera incluirse en los mismos, pero por unanimidad de todos los asistentes, se estimó reiterar la autorización expresa la inclusión en el mismo, dando por resuelto la posible incidencia si así se puede considerar, y que no se procediera a retirar la copia de indicada remesa de domiciliación bancaria, que ninguno de los asistentes indicó expresamente que se tomara la debida nota en el acta, sobre la procedencia ó no en dicho documento, y a tenor de lo indicado anteriormente, el acta de 13/05/2008, no fue impugnada en este punto ni ningún otro. También que solo se recibieron dos llamadas telefónicas interesándose por el documento objeto de actuación, quedando conformes con nuestras explicaciones. 6) Señala el administrador que la única finalidad de la inclusión del documento en el dossier, de dicho documento era que los propios comuneros pudieran entre otros comprobar directamente con copia de los documentos que la contabilidad de la comunidad, ante posibles dudas al respecto y así verificar especialmente las cuentas bancarias y los importes de comunidad que se venían percibiendo mensualmente, y más especialmente cuando se venía realizando una labor de insistencia en el pago y en la domiciliación de los pagos para una mejor gestión y una liquidez oportuna. 7) Manifiesta que dicha relación es una fotocopia de un documento que consta en la contabilidad de la empresa para generar las remesas bancarias de los recibos domiciliados de la comunidad y dicho documento contable es de libre acceso a lodos los comuneros y que además, había sido requerido a esta Asesoría como justificante de nuestros servicios, y por ello se incluye en el Orden del día, según consta en el apartado 3 del Acta de la Junta General Ordinaria de la Comunidad. 8) Aportan copia del acta de la Junta del 13/05/2008, así como una serie de trece documentos idénticos fechados el 1/08/2007, titulados: Artículo I Derecho de información en la recogida de datos firmados por algunos propietarios en los que se les informa de los derechos especificados en el art. 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. No se aporta copia del correspondiente al denunciante. 9) Se adjunta certificado de A.A.A. de 22/12/2008 en el que consigna que presta servicios por cuenta ajena para R&O del Castillo SLL, ejerciendo de contable en la empresa, que desde el inicio de la prestación de servicios por parte de RO del Castillo SLL a la Comunidad de Propietarios Edifico ******* del *******, he sido la persona que directamente ha confeccionado y gestionado todo lo relativo a dicha Comunidad Que el documento que consta la fecha de impresión 2/01/2008 con titulo Listado del disco de domiciliados de fecha de emisión 1/01/2008, y fecha de cargo 4/01/2008 se encuentra contabilizado en la Comunidad con fecha 5/01/2008.

3 3/12 TERCERO: Con fecha 13/04/2009 se acordó por el Director de la Agencia Española e Protección de Datos iniciar procedimiento sancionador a R&O DEL CASTILLO, SLL por la infracción del artículo 10 de la Ley Orgánica 15/1999, de 13/12, de Protección de los Datos de Carácter Personal (en lo sucesivo LOPD), tipificada como leve 44.2.e) de dicha norma. CUARTO: Con fecha 28/04/2009, se presentan alegaciones por R.& O. DEL CASTILLO SLL, en las que señala: 1) Reconoce la responsabilidad en la comisión de la infracción, solicita que se apliquen las reducciones sobre el importe de la sanción, y se imponga la mínima, al no haberse causado daño, perjuicio, ni existir intencionalidad y no haberse incumplido advertencia alguna ni se ha dado alguna circunstancia que pudiera agravar los hechos, siendo un error consistente en incluir en un dossier de documentación, copia de un documento contable. QUINTO: Con fecha 5/06/2009, se inició el período de práctica de pruebas, solicitando al denunciante que aclarara los términos de su denuncia en que manifiesta que entre esas hojas se pusieron 6 hojas con los pidiéndole que aclarase cuales son esas seis hojas, que aporte copia si las tiene, o que detalle en que consistían, y si expresó en relación con el listado su queja detallando forma y copia si la hubiera presentado o si conoce que alguna otra persona haya presentado denuncia por los mismos hechos, y que acredite si ha sufrido algún perjuicio o informe si ha tenido que adoptar alguna medida. A R&O, se le pidió que informara sobre el número de vecinos que componen la Comunidad. Con fecha 19/06/2009, R&O manifiesta que la Comunidad se compone de 68 propietarios. Con fecha 26/06/2009, el denunciante aporta la contestación a lo solicitado. En tal sentido, y relacionado con lo que significaba en su denuncia entre esas hojas pusieran 6 hojas con los nombres apellidos y códigos de cuenta cliente, y dado que en su denuncia había presentado una sola hoja, el denunciante requerido para aclarar este aspecto, aporta además, 5 hojas, cada una distinta, constando en el margen derecho Fecha cargo, diferentes fechas en cada una, 5/10/2007, 6/11/2007, 5/12/2007, 4/02/2008, 5/03/2008, constando en todas ellas los mismos datos que en la hoja aportada con la denuncia, nombres y apellidos y códigos de cuentas bancarias, variando solo en el número del recibo girado, y la fecha de impresión. Además, el denunciante señala que hizo la consulta al Administrador sobre la legalidad de las hojas repartidas, contestando que No, no es legal, pese a ello, no retiró las hojas. Asimismo, señala que se ha repartido en una reunión posterior a la de mayo de 2008, unas hojas de las que adjunta copia, en las que se hace constar una fecha anterior a aquella. Aporta copias de un documento informativo titulado Derecho de información en la recogida de datos con los datos del titular precumplimentados, debiendo firmarse, y con fecha 1/08/2007, y alude al artículo 5 de la LOPD, siendo el destinatario de la información del fichero, según se indica, la propia entidad Administradora, y no indica nada en relación con la Comunidad de Propietarios. La finalidad del fichero se indica que es la de llevar a cabo acciones de R.& O. del Castillo SLLL para realizar avisos. Aparte de la información, el documento también contiene una autorización expresa para la comunicación de datos de carácter personal solo y exclusivamente ante otros comuneros o personas autorizadas por estos para cuantos, actos, gestiones y otros. No se aporta copia del ejemplar firmado por el denunciante, ya que este ha manifestado que no lo firmó. SEXTO: Con fecha 31/07/2009 se formuló por el Instructor propuesta de resolución al Director de la Agencia, con sanción a R&O DEL CASTILLO, SLL de 6.000, por la infracción del artículo 10 de la LOPD, tipificada como leve. Frente a dicha propuesta, se formularon por R&O DEL CASTILLO, SLL las siguientes alegaciones: 1) No reconoce la responsabilidad porque creía que la sanción que se impondría sería la mínima, y al recibir una propuesta con una cantidad mas elevada rechaza la comisión de la infracción.

4 4/12 2) La documentación se entregó en un acto debidamente convocado por el Presidente en representación de la Comunidad, como fue la Junta General de 13/05/2008. La documentación es de tipo contable y sirve para justificar los movimientos de cobro de los recibos y meses señalados. Solicita que se cambie la redacción del término hojas o listados entregados por documentos contables de la Comunidad que sirven para justificar y documentar el cobro de los recibos, por tratarse de documentos bancarios necesarios para la llevanza contable de la Comunidad, al tratarse de remesas bancarias con datos de comuneros para que el banco sepa a que cuentas debe cobrar. Esta documentación puede ser conocida por los propietarios, estando a disposición de los titulares. Esta documentación es necesaria para el adecuado desarrollo de las actividades previstas en la LPH. La documentación entregada ya se indicaba en la propia convocatoria de la Junta, pero además se entregó a los propios comuneros a personas debidamente autorizadas según se recoge en el acta-. Las anotaciones de los documentos contables se corresponden con los importes ingresados en la cuenta de la Comunidad. Cada uno de los 6 documentos tiene anotado un número que se corresponde con el número de registro de asiento contable debidamente mecanizado informáticamente, que les solicitó la Comunidad 3) La convocatoria de la reunión en la que se dio la documentación contable lo fue por el Presidente de la Comunidad, el acta aparece firmada por el, la documentación se verificó previamente por la Junta de Gobierno. El responsable del fichero es la Comunidad. El que tenía que decidir sobre las cuestiones relacionadas con la Junta, a través de sus órganos de Gobierno, sería la Junta. Aporta copia de un certificado de 10/08/2009 de Carlos Javier Acosta Pérez, Presidente de la Comunidad que señala En la Junta ordinaria de 3/06/2008, se procedió a la entrega a los comuneros asistentes según consta en el punto 3, del orden del día, de un dossier, entre otros se entregaron copia de seis documentos bancarios de remesas mensuales que corresponden al cobro de recibos de las cuotas a los comuneros que tiene domiciliado en cuentas corrientes. No se aporta copia de la convocatoria ni del orden del día de la reunión a celebrar el 13/05/2008. Señalar que la reunión no se celebró el 3/06/2008, sino el 13/05/2008 4) Cita el informe del Gabinete Jurídico 94/2009 disponible en la web de la Agencia para justificar que los documentos que custodie el Administrador sobre los propietarios estarán a disposición de los restantes titulares, y que tal cesión estaría amparada por la LPH. La citada consulta se refiere a un punto del orden del día de asuntos a tratar en la celebración de una Junta general de propietarios sobre la posibilidad de aprobar la cesión de datos de propietarios individuales que resulten necesarios para reclamaciones, obras, servicios e instalaciones comunitarias. La consulta determina que la transmisión a los propietarios que lo soliciten de los datos de los restantes propietarios será lícita siempre y cuando la finalidad para la que los solicitantes justificasen la comunicación se encontrase amparada por la LPH teniendo en cuenta asimismo el artículo 4.1 de la LOPD, se pueden ceder datos de propietarios. La cesión documental se hizo para justificar los puntos del orden del día 2 y 3 de la convocatoria. 5) Cita el informe 418/2008 del Gabinete Jurídico en el que se consultaba si los propietarios podían visualizar la nómina de un empleado de la Comunidad. En el mismo consta: De las normas citadas en el párrafo anterior, interpretadas en su conjunto, cabe concluir que la Ley de Propiedad Horizontal, permite que cada copropietario o quien debidamente le represente, que asista a la Junta general ordinaria que debe celebrarse una vez al año, pueda pedir en ésta la exhibición de las nóminas del trabajador en cuestión acreditativas de los gastos de personal al servicio de la Comunidad, gastos que deben obrar en las cuentas a aprobar y que también puede conocer al recibir la convocatoria con la documentación precisa para dicha Junta ( Plan de gastos previsibles ). Cabe reproducir respecto a este punto, lo señalado en el artículo 4 apartado 2 de la Ley Orgánica 15/1999 citado anteriormente, en el sentido de que el acceso y conocimiento de los datos

5 5/12 salariales en cuestión, sólo pueden utilizarse por el copropietario solicitante con la finalidad de conocer los datos necesarios para acudir y aprobar los gastos anuales en la Junta general ordinaria, y no para otros fines. 6) No se motiva la imposición de la multa de en la propuesta. 7) Solicita se aplique la reducción del artículo 45.4 de la LOPD al mínimo, en base a no haberse acreditado haber causado perjuicios ni al denunciante ni a otros propietarios. 8) Propone pruebas. A saber, que se libre declaración al Presidente de la Comunidad para que explique los hechos y que se requiera para que aporte los documentos que sean necesarios como justificativos de los argumentos efectuados. HECHOS PROBADOS 1) En la reunión de propietarios de Edificio ******* celebrada el 13/05/2008 se entregó por parte del administrador R.&O. DEL CASTILLO SLL a los asistentes (propietarios y representantes de estos) seis hojas que contenían listado del disco de domiciliados que incluían nombres y apellidos y código completo de la cuenta bancaria de 34 propietarios (folios 9 y 11, 17, 67, 69 a 74) de los meses 10/2007 a 3/2008, que en formato disco se entregan a la entidad bancaria para el giro de los recibos. Entre dichas cuentas figuran la del denunciante (folios 4 y 3,) Los listados de entrega a la entidad bancaria se repartieron a los asistentes motu propio por R&O (folio 17) y son confeccionados cada mes por R&O, según declara la contable de la misma (folio 37). 2) Los listados que se entregaron en la reunión del 13/05/2008 son documentos que se registran en la contabilidad interna de R&O, que se presenta en formato disco en la entidad bancaria, correspondiente a cargos de los meses 10/2007 a 3/2008 (folio 67, 69 a 74). 3) No consta acreditado el consentimiento de los propietarios para que los datos de cuenta bancaria y nombre y apellidos de los propietarios con los abonos de cuotas domiciliados en banco, se entregaran en dicha reunión (folios 11, 17). Este documento se entregó sin previa petición de alguno de los propietarios, sino motu propio por R&O, (folio 11con la finalidad según manifiesta R&O. de que se conociera el número de recibos que por banco se habían girado en la referida fecha, (folio 12).( SE R&O reconoció en las alegaciones al acuerdo que entregó la documentación que contenía los listados de cuentas bancarias en la reunión de 13/05/2008 (folio 53), incluyendo en un dossier de documentación, copia de un documento contable (53 Y 11). 4) R&O reconoce que una persona tras el reparto de las hojas conteniendo los números de cuenta bancaria les preguntó sobre el contenido de datos de carácter personal (folio 11), tal como el denunciante pone de manifiesto (folio 2 y 67). FUNDAMENTOS DE DERECHO I Es competente para resolver este procedimiento el Director de la Agencia Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g) en relación con el artículo 36 de la LOPD. II El artículo 3 d) y g) de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal, definen:

6 6/12 - Responsable del fichero, persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. A la vista de este concepto, será necesario determinar quién, a criterio de esta Agencia, decide sobre la finalidad, objeto y uso de los datos en este caso.. Encargado del tratamiento: La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. Será cuestión fundamental resolver cuál es la finalidad a la que se encontrarían sujetos los ficheros que contuvieran los datos de los propietarios, tomando en consideración la tenencia de dichos ficheros por el Administrador. III Tienen la consideración de fichero a los efectos de las previsiones contenidas en la LOPD todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso (artículo 3.b). El responsable del fichero, tal y como establece el artículo 3 d) de la LOPD, se define como responsable del fichero a la persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. A la vista de este concepto, será necesario determinar quién decide sobre la finalidad, objeto y uso de los datos. La finalidad de mantener los datos de los propietarios es, como ya se ha señalado, asegurar el cumplimiento por los propietarios de las obligaciones impuestas por la Ley de Propiedad Horizontal (en los términos previstos tras su reforma, operada por la Ley 8/1999, de 6 de abril), así como garantizar el adecuado ejercicio por los mismos de los derechos que les corresponden en la comunidad, tendiendo a asegurar el correcto desenvolvimiento de la comunidad. La condición de responsable del fichero recae sobre la propia Comunidad de Propietarios que es quien, a través de sus Órganos de Gobierno y, en su caso, de la Junta, resolverá sobre las cuestiones relacionadas con la misma, siendo así que, de lo establecido en el artículo 13 de la Ley se desprende que el Secretario y el Administrador, cuando actúen en el ejercicio de las funciones relacionadas con una determinada comunidad, no son sino órganos integrados en la misma, independientemente de la posibilidad de que una misma persona desempeñe funciones de secretario y/o administrador en varias Comunidades de propietarios. La misma solución se alcanza si se tiene en cuenta que le artículo 13.7 de la Ley, en su párrafo segundo, habilita a la Junta a remover a quienes desempeñen funciones en uno de sus órganos de gobierno, siendo potestad de la Junta nombrar y separar a los mismos (artículo 14.1). Por tanto, las actividades que el Administrador (o, en su caso, el Secretario) de una determinada Comunidad de Propietarios desarrolle como tal no serán sino las derivadas de su propia integración, como órgano de gobierno, en la citada comunidad, sin que el mismo pueda utilizar la información de que tenga conocimiento como consecuencia del ejercicio de su función para un fin distinto del derivado de la gestión que le haya sido encomendada, en el ámbito de las funciones que al administrador atribuye el artículo 20 de la Ley de Propiedad Horizontal. La condición de responsable de los ficheros creados para la adecuada gestión y funcionamiento de la comunidad de propietarios de un inmueble objeto de división horizontal corresponderá a la propia Comunidad, siendo el administrador, en cuanto tal y con relación a ese determinado inmueble, un mero usuario del fichero, en virtud de su condición de órgano de gobierno de la comunidad.

7 7/12 Dicho lo anterior, es posible que un mismo profesional, en su condición de administrador colegiado de fincas, ejerza la administración de varias comunidades de propietarios, siendo así que resulta asimismo posible que cada una de las citadas comunidades le encomiende el tratamiento y conservación de los ficheros de datos de carácter personal de la que aquélla sea responsable. En ese caso la condición del propio administrador en relación con el citado fichero, encajaría en la figura del encargado del tratamiento, que el artículo 3 g) de la Ley Orgánica 15/1999 define como la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. Dado que, como se ha dicho, la utilización de los datos contenidos en el fichero que efectúe el administrador se llevará a cabo en su condición de órgano de gobierno de la comunidad, en caso de que los ficheros se encontraran incorporados a los sistemas de información del propio administrador aquél no podría realizar actividad alguna que exceda de las funciones que le otorga el artículo 20 de la Ley de Propiedad Horizontal (más las de custodia de las actas, prevista en el artículo 19.4 de la propia Ley). Por ello, el administrador no sería en este caso más que un mero depositario de los ficheros de la comunidad de propietarios, que sólo resolvería sobre su utilización en cuanto ejerciera las potestades que para dicha comunidad le atribuye la junta al designarle órgano de gobierno de la misma, por lo que su actividad se desarrollaría siempre en nombre y por cuenta de la propia comunidad que le ha apoderado. En consecuencia, el administrador depositario de los ficheros de la comunidad de propietarios será un encargado del tratamiento en cuya oficina se encontrarán ubicados los ficheros de dicha comunidad. El artículo 12.4 de la LOPD señala que en el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente, siendo, en consecuencia, de aplicación el régimen sancionador establecido en los artículos 43 y siguientes de la Ley, sujetando el primero de ellos al encargado del tratamiento a dicho régimen. En relación con la cláusula informativa que se entrega a los propietarios, y sin entrar en el fondo del asunto, que no es objeto de este procedimiento, como consecuencia de lo referido, cada Comunidad estaría obligada a notificar sus ficheros a la Agencia Española de Protección de Datos, si bien indicando la condición de encargado del tratamiento del Administrador de fincas, en su condición de tercero y no sólo de órgano de la comunidad. El administrador depositario de los ficheros de la comunidad de propietarios será un encargado del tratamiento en cuya oficina se encontrarán ubicados los ficheros de dicha comunidad, no siendo necesario el consentimiento de los propietarios para que el administrador trate sus datos al no tener la consideración de comunicación de datos (artículo 12 LOPD), siendo una de las limitaciones de este artículo que El encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable y no los utilizará con un fin distinto al que figure en su contrato, no estando autorizado a facilitar los datos personales del fichero a terceras personas, por lo tanto, autónomamente no podrá solicitar autorización para cesión de los datos a otras entidades o a otras personas, al no ser responsable del fichero o del tratamiento. Además, el artículo 5 de la LOPD determina que el deber de información debe ser ofrecido por el que solicite los datos, y es de prever que en este caso, fue la Comunidad la que prima facie dispone porque recogió esos datos. En tal sentido, existen criterios e informes en este sentido en la web de la Agencia, así como en las memorias anuales sobre los ficheros de las Comunidades de Propietarios y su relación con Administradores de Fincas.

8 8/12 De las actuaciones practicadas se desprende que R&O entregó los listados en la reunión de propietarios de 13/05/2008, con los números de las cuentas bancarias de los mismos, partiendo la acción de la misma denunciada, motu propio, sin petición anticipada de algún propietario, y revelándose los números de cuentas bancarias, suponiendo la vulneración por parte de la denunciada del artículo 10 de la LOPD, al considerarse a la Administradora de fincas, como persona que interviene en cualquier fase del tratamiento, que no trató los datos de acuerdo con lo que establece el artículo 10 de la LOPD, utilizándolos en una reunión para informar a los vecinos, entregando copias de los listados de titulares de cuentas bancarias, siendo visibles estas, y siendo un documento que usualmente se confecciona por los administradores para enviar al Banco para que proceda a su cobro. Asimismo, queda acreditado que dicho documento es confeccionado por la propia R&O. El artículo 10 de la LOPD, dispone: IV El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. Este deber de secreto profesional es una exigencia elemental y anterior al propio reconocimiento del derecho fundamental a la libertad informática a que se refiere la Sentencia del Tribunal Constitucional 292/2000, y por lo que ahora interesa, comporta que los datos tratados automatizadamente, como son los datos de la cuenta bancaria y con mayor importancia el número de tarjeta de crédito dado el riesgo que conlleva en la actual sociedad su utilización fraudulenta, no pueden ser conocidos por ninguna persona o entidad, pues en eso consiste precisamente en secreto. El artículo 10 de la LOPD.comporta que los datos que han sido recogidos o tratados para un determinado fin-en este caso para la gestión de recibos de los propietarios, no tienen porque ser divulgados a nadie, sin que el hecho de que la divulgación realizada fuera a losa mismos propietarios pueda constituir atenuante alguno, pues el dato de la cuenta bancaria asociado al nombre y apellidos es un dato, que puede servir plenamente para identificar a su titular, así como se pueden realizar diversas operaciones en el trafico jurídico con dichos datos. Se debe poner en relación el artículo 10 con el artículo 4.1 de la LOPD, que consagra el principio de finalidad en el tratamiento de los datos al disponer que Los datos de carácter personal sólo se podrán recoger para su tratamiento, así como someterlos a dicho tratamiento, cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido. Este principio se completa con lo dispuesto en el artículo 4.2 de dicha LOPD, que dispone que Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. La finalidad de mantener los datos de los propietarios es, precisamente, asegurar el cumplimiento por mismos, de las obligaciones impuestas por la Ley de Propiedad Horizontal (en los términos previstos tras su reforma, operada por la Ley 8/1999, de 6 de abril), así como garantizar el adecuado ejercicio por los mismos de los derechos que les corresponden en la comunidad. En resumidas cuentas, la finalidad perseguida por el mantenimiento de estos ficheros será la de asegurar el correcto desenvolvimiento de la comunidad. No tiene nada que ver que a un documento se le identifique como contable para que pueda contener datos de carácter personal, como es el presente supuesto, en el que la relación de domiciliatiarios entregados al banco puede denominarse como se quiera, pero su

9 9/12 contenido es referente a protección de datos de carácter personal, por cuanto quedan identificados titulares o propietarios con sus cuentas personales utilizadas para abonar los recibos a la Comunidad. La Administradora puede entregar dossieres de personas que tienen domiciliado el pago en banco, incluso copia de las cantidades y fechas en que se abonan, pero no en este caso del número de cuenta bancaria, que no es un elemento común que deba ser compartido De las actuaciones realizadas durante la tramitación del presente procedimiento, ha quedado acreditado, y además reconocido por la denunciada, que vulneró el deber de guardar secreto al difundir a terceras personas datos de carácter personal contenidos en sus ficheros, sin que conste acreditado el consentimiento por los titulares de los datos para su difusión. El hecho de que pertenezcan todos a la misma Comunidad de Propietarios, no significa que como titulares individuales de otros derechos, estos queden cercenados, pues el derecho a conocer el número de cuenta no forma parte de los elementos comunes que precisa ser conocido para la buena marcha de la gestión comunitaria. Es indiscutible que los propietarios a título individual o colectivamente, pueden mediante petición justificada y para conocer la marcha económica de la Comunidad examinar los documentos de las cuentas de la Comunidad y tener acceso a los mismos, si bien no precisan y no procede el acceso o conocimiento al número de cuentas de cada uno de ellos. En tal sentido las seis hojas que acompañaban al dossier, documentación generada con los datos obrantes de los propietarios en la Administración R&O son documentos internos, y aunque su consulta pudiera haberse hecho, se debía haber peticionado y haberse proporcionado si números de cuenta bancaria. En concreto, se divulgaron los números de cuenta bancaria de todos los propietarios, dato no necesario para informar a cada uno del escaso número de personas que abonan o tienen domiciliado el pago de la Comunidad. Ello se podía haber obviado eliminando o suprimiendo dichos números o entregando otro tipo de listado que no tuviera este dato. A tenor del literal del artículo 10 de la LOPD, la entidad responsable del fichero o el que participe en su tratamiento, en el que consten datos de carácter personal, está obligada a guardar el secreto profesional respecto de los mismos, obligación que en el presente caso no se ha cumplido, toda vez que se ha constatado de forma objetiva, la difusión mediante su entrega de los documentos que contenían las relaciones de cuentas bancarias de propietarios que tienen domiciliados sus pagos. No resulta asumible que la responsabilidad de la mala praxis profesional de la Administración de Fincas recaiga en la Comunidad de Propietarios pues queda acreditado que se confecciona el documento por ella misma y se entrega sin petición previa expresa y concreta a cada uno de los propietarios. A efectos de la alegación de R&O de que se cambie la denominación de lo entregado a los propietarios de lista de propietarios que contienen los números de cuenta bancaria, o listado de disco de domiciliación que se remite al banco por la de documento contable, es indiferente la denominación otorgada a este contenido, pues se genera con la documentación que R&O maneja de la Comunidad y aparte de la finalidad propia de su envío al Banco, no se deduce de ello su carácter contable, siendo lo decisivo que contiene datos de carácter personal identificando a cada persona con su cuenta bancaria plenamente en cada uno de los seis listados, y pudiendo dar lugar al conocimiento de la cuenta bancaria con el riesgo que conlleva el conocimiento de ambos datos agrupados. Datos además, no necesarios de forma integra para que sean conocidos por los propietarios, pudiéndose haber optado por otras medidas si el fin era el de dar a conocer el número de personas o las personas que tienen domiciliados los pagos. V La LOPD califica como infracción leve, grave o muy grave la infracción del artículo 10 de la citada norma, dependiendo del contenido de la información que ha sido indebidamente facilitada a terceros.

10 10/12 El incumplimiento del deber de guardar secreto establecido en el citado artículo 10 de la LOPD constituye, por regla general, una infracción leve tipificada en el artículo 44.2.e) como: Incumplir el deber de secreto establecido en el artículo 10 de esta Ley, salvo que constituya infracción grave. Tal incumplimiento sólo constituye una infracción grave en los casos específicamente enunciados en el artículo 44.3.g), es decir, cuando la vulneración del deber de guardar secreto afecte a... los datos de carácter personal incorporados a ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, servicios financieros, prestación de servicios de solvencia patrimonial y crédito, así como aquellos otros ficheros que contengan un conjunto de datos de carácter personal suficientes para obtener una evaluación de la personalidad del individuo. En el presente caso, conviene analizar la incidencia de la infracción cometida por la denunciada, al objeto de su correcta tipificación conforme a lo señalado anteriormente. En este sentido, consta acreditado que los datos personales revelados por la denunciante fueron los números de cuentas bancarias de todos los propietarios, en seis listados confeccionados por la Administradora de Fincas de la Comunidad de Propietarios. Por ello, se concluye que la conducta imputada a la denunciante es subsumible en el tipo leve del artículo 44.2.e), ya que la información proporcionada no se puede incluir como relativa a servicios financieros por contener el número de cuenta bancaria. VI El principio de culpabilidad previsto en el artículo de la Ley 30/1992, de RJAP y PAC, dispone que sólo puede ser sancionadas por hechos constitutivos de infracción administrativa los responsables de los mismos, aún a título de simple inobservancia. Pues bien, la conducta que configura el ilícito administrativo artículo 44.2.e) de la LOPD requiere la existencia de culpa, que se concreta, en el simple incumplimiento del deber de guardar secreto, deber que se transgrede cuando se facilita información a terceros de los datos que sobre los titulares de cuentas bancarias En consecuencia, esa falta de diligencia configura el elemento culpabilístico de la infracción y resultando imputable a la denunciada, mas si se tiene en cuenta como reconoce uno de los asistentes le cuestionó las hojas que contenían los datos bancarios El artículo 45.1, y 4 de la LOPD establece lo siguiente: VII 1. Las infracciones leves serán sancionadas con multa de 601,01 a , La cuantía de las sanciones se graduará atendiendo a la naturaleza de los derechos personales afectados, al volumen de los tratamientos efectuados, a los beneficios obtenidos, al grado de intencionalidad, a la reincidencia, a los daños y perjuicios causados a las personas interesadas y a terceras personas, y a cualquier otra circunstancia que sea relevante para determinar el grado de antijuridicidad y de culpabilidad presentes en la concreta actuación infractora. La denunciada pidió que al no haber daño ni perjuicio alguno, sin intencionalidad, ni incumplimiento de advertencias, ni otra razón, se aplique la escala mínima dentro de las posibles que corresponden al tramo cuantitativo. En tal sentido, la entidad señala que fue un error al incluir un documento administrativo, si bien, desde el principio el denunciante señala que se adjuntaron 6 hojas, no siendo solo una la página entregada, sino varias, correspondientes a meses anteriores, junto al

11 11/12 hecho de que hubiese una reclamación, queja o consulta durante la celebración de la reunión, y en cuanto a que no se desobedeció ninguna advertencia, ello no es cierto pues reconoce R&O, al igual que el denunciante que se le preguntó en la sesión de 13/05/2008, tras la entrega de las hojas, sobre las mismas. En lo que respecta a la falta de perjuicios causados si bien no se acreditan materialmente, se proporcionaron datos de cuentas bancarias sobre 34 propietarios, y se debe tener en cuenta que en la primera respuesta de actuaciones previas, indicó R&O (folio 11), que por unanimidad de los asistentes se estimó reiterar la autorización expresa de la inclusión de los listados, si bien no aportó documentación justificativa alguna, y dada la importancia que el par nombre y apellidos y número de cuenta bancaria tienen hoy día, son motivos que han de ser tenidos en cuenta a la hora de la aplicación del artículo 45.4, pues aun pudiendo haber cometido la infracción sin intencionalidad, se impone una multa de Vistos los preceptos citados y demás de general aplicación, El Director de la Agencia Española de Protección de Datos RESUELVE: PRIMERO: IMPONER a R&O DEL CASTILLO, SLL, por una infracción del artículo 10 de la LOPD, tipificada como leve en el artículo 44.2.e) de dicha norma, una multa de 6.000, de conformidad con lo establecido en el artículo 45.1 y 4 de la citada Ley Orgánica. SEGUNDO: NOTIFICAR la presente resolución a R&O DEL CASTILLO, S.L.L. y a M.M.M.. TERCERO: Advertir al sancionado que la sanción impuesta deberá hacerla efectiva en el plazo de pago voluntario que señala el artículo 68 del Reglamento General de Recaudación, aprobado por Real Decreto 939/2005, de 29 de julio, en relación con el art. 62 de la Ley 58/2003, de 17 de diciembre, mediante su ingreso en la cuenta restringida nº abierta a nombre de la Agencia Española de Protección de Datos en el Banco Bilbao Vizcaya Argentaria, S.A. o en caso contrario, se procederá a su recaudación en período ejecutivo. Si recibe la notificación entre los días 1 y 15 de cada mes, ambos inclusive, el plazo para efectuar el pago voluntario será hasta el día 20 del mes siguiente o inmediato hábil posterior, y si recibe la notificación entre los días 16 y último de cada mes, ambos inclusive, el plazo del pago será hasta el 5 del segundo mes siguiente o inmediato hábil posterior. De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD, en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de medidas fiscales, administrativas y del orden social, la presente Resolución se hará pública, una vez haya sido notificada a los interesados. La publicación se realizará conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo a lo dispuesto en el artículo 116 del Real Decreto 1720/2007, de 21 diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD. Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la LOPD), y de conformidad con lo establecido en el artículo 116 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, los interesados podrán interponer, potestativamente, recurso de reposición ante el Director de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución, o, directamente recurso contencioso administrativo ante la Sala de lo Contenciosoadministrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción

12 12/12 Contencioso-administrativa, en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 del referido texto legal. Madrid, 5 de octubre de 2009 EL DIRECTOR DE LA AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS Fdo.: Artemi Rallo Lombarte