Protección de datos en Internet

¿Quién no ha dicho aquello de “es que los móviles nos están escuchando, hablé el otro día con una amiga de estas zapatillas y ahora me salen anuncios todo el rato”?

Vamos por partes. La realidad innegable es que todas nuestras interacciones online se recopilan para crear un perfil detallado sobre cada uno de nosotros cimentado todo ello sobre la base de lo que nos gusta, lo que no, lo que hacemos con nuestro tiempo libre, con qué nos ganamos la vida, lo que nos atrae, nuestros temores en torno al futuro…

En este sentido, las redes sociales de ocio cuentan con un nivel de riesgo superior al de las de carácter profesional puesto que los usuarios exponen no solo sus datos de contacto o información profesional, sino también datos aún más sensibles como vivencias, ideología, experiencias…

Adicionalmente a esto, existe el problema de que en las redes sociales los usuarios no suelen ser conscientes de la facilidad de acceso que tienen otras personas o entidades a sus datos así como del valor que podrían alcanzar en el mercado. Sus datos, perfectamente podrían ser utilizados por terceros para publicar contenido sin autorización del usuario o para manipular cualquier información que se provee a través de las redes sociales.

Por ejemplo, algo que llamó mucho la atención fueron las elecciones estadounidenses de 2016. Hillary parecía la favorita pero, sin embargo, Trump acabó siendo presidente. ¿Cómo ha sido esto posible? Si os interesa este tema hay un documental de Netflix recomendadísimo llamado “Nada es privado” (“The great hack”) que ahonda en la filtración masiva de millones de datos de usuarios de Facebook a través de Cambridge Analytica, ademas de tocar otros temas relacionados con esta materia.

Sin embargo, como Estados Unidos nos pilla lejos, vamos a centrarnos en lo que nos interesa. En el ordenamiento jurídico español sabemos que existen normas tanto comunitarias como nacionales que regulan la protección de los datos de carácter personal en las redes sociales. Pero ¿qué hace esta normativa para protegernos en las redes sociales?

Si eres una red social, o incluso un mero proveedor de servicios con presencia en internet, el aspecto clave que tienes que tener en cuenta para no pillarte mucho los dedos a la hora de montar tu página web es el siguiente: el aviso legal debe ser claro y estar actualizado.

El uso de los datos personales siempre debe tener un contenido legal que lo respalde además de que siempre se deberá informar a los interesados sobre dicho uso. Para ello, la política de privacidad de la empresa debe redactarse de forma clara y estar siempre actualizada con respecto a la normativa en vigor en cada momento. Si tienes un aviso legal antiguo, y sobre todo si es anterior al RGPD y a la nueva LOPDGDD, tendrás que rehacerlo.

El la política de privacidad deberás determinar, entre otras cosas, quién es el responsable del tratamiento de los datos, cuánto tiempo va a conservar los datos, quién tendrá acceso a ellos y las medidas que se tomarán para evitar un uso indebido de los datos.

Suerte con ello, porque no solo deberás readaptar tus textos sino que también revaluar tus procedimientos a nivel de empresa ya que puede ser que algo estés haciendo mal.

Los vecinos morosos y la protección de datos

A pesar de que suele suceder que en una comunidad de propietarios se publiquen datos personales sobre la insolvencia de un propietario deudor, es conveniente tener en cuenta que puede producirse una violación de la normativa de protección de datos e incluso una contravención de sus derechos fundamentales.

Es decir, que podemos encontrarnos con que tenemos un vecino que no paga y que luego se enfada porque se ha publicado su condición de morosidad en un listado por lo que acaba denunciando a la comunidad por este hecho. Es por ello que antes de nada debemos tener claro si podemos o no publicar en la convocatoria de la junta el nombre de los propietarios morosos.

En primer lugar hay que analizar si desde la comunidad se pueden tratar los datos de ese vecino deudor. Para ello, se deberá tener en cuenta que, como ya hemos visto, todo tratamiento de datos de carácter personal debe encontrarse fundado en alguna de las causas legitimadoras para ello. En este caso concreto, podemos ver que el tratamiento de los datos de cualquier vecino resulta necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento.

Por otro lado, en virtud de la Ley de Propiedad Horizontal (LPH), es posible la publicación en la convocatoria de la junta la relación de propietarios que no estén al corriente en el pago de las deudas vencidas a la comunidad

Ahora bien, ¿qué sucede si aun así el moroso sigue sin pagar y no se da por aludido? Tranquilos, que se puede proceder a publicar su situación de impago en el tablón de anuncios aunque, como veremos a continuación, antes de llegar a esto se debe intentar la notificación por otros medios.

En primer lugar, se habrá tenido que notificar al afectado en el domicilio que haya señalado a efectos de notificaciones de conformidad con lo indicado en el artículo 9.1.h) de la LPH, sobre la convocatoria de la junta o el acta donde se contiene su condición de deudor.

En su defecto, si el vecino deudor nunca indicó cual era su domicilio a efectos de notificaciones, se deberá haber practicado la notificación en el inmueble del que es propietario en la comunidad de que se trate.

Sin embargo, cuando no se ha podido notificar al deudor en su domicilio, es cuando se procederá a publicar la convocatoria de junta o el acta en el tablón de anuncios del edificio o en lugar visible de uso general habilitado al efecto y expresando la fecha y motivo por el que se procede a realizar así la notificación. La notificación así practicada ya produce efectos jurídicos en el plazo de tres días naturales.

Aun así, hay que tener presente en todo momento que la finalidad de colgar la lista en el tablón es la de informar a los propietarios deudores de que se hallan en tal situación y que se dé por practicada la notificación. En ningún momento se hace para poner en conocimiento de terceros tal hecho, aunque no obsta que se llegue a producir esta consecuencia inevitable. Es por ello que la ley exige que se intente la notificación personal al vecino moroso por otros medios antes de proceder a publicarlo en el tablón de anuncios, lo cual se haría como última posibilidad y evitando, en la medida de lo posible, ponerlo en un lugar de libre acceso a terceros ajenos a la finca.

Por último, ha de tenerse en cuenta que no cabe la publicación de una especie de listado independiente con los nombres de todos los vecinos deudores, como si de una lista negra se tratase ya que la LPH hace referencia únicamente a la publicación de la convocatoria de junta y la del acta aprobada por los propietarios.

Las empresas de mensajería como encargados del tratamiento

Como ya hemos visto, cada vez que se contrate la prestación de unos servicios, habrá que tener en cuenta si se ceden datos personales de nuestros clientes a ese nuevo prestador de servicios. En caso afirmativo estaríamos ante la figura de un encargado del tratamiento con el cual habrá de firmarse el correspondiente contrato responsable – encargado y se deberá evaluar si cumple con las obligaciones necesarias en materia de protección de datos.

En relación con este tema, nos encontramos con la situación de las empresas de mensajería, las cuales, pueden considerar que no tratan datos personales del responsable en base a que no se accede al contenido de las cartas o a que no se guardan los datos indicados en los sobres. Es por ello que procederemos a analizar esta situación, para ver si es así o si serán considerados encargados del tratamiento con todas las de la ley.

Como punto de partida, indicar que no es necesario que se acceda al contenido de las cartas para que exista o no un tratamiento. El hecho de que no se acceda a dicho contenido forma parte de una obligación constitucional, de acuerdo con el artículo 18.3 de la Constitución Española, por lo que no se trataría de un argumento válido para indicar la falta de tratamiento. Claramente, en el momento en el que se contrata un servicio de distribución de mensajería, no se espera que se vaya a realizar en modo alguno el acceso al contenido de las cartas.

Es decir, salvo servicios concretos como el envío de correos con certificación de texto o de burofaxes, este es un aspecto que queda protegido por nuestra propia Constitución y el secreto de las comunicaciones, cuyo quebrantamiento implica la comisión de un delito.

En segundo lugar, teniendo en cuenta lo que se consideran datos personales, de acuerdo con el artículo 4 del RGPD, se trataría de toda información sobre una persona física identificada o identificable, considerándose persona física identificable toda persona cuya identidad pueda determinarse directa o indirectamente.

Analizando esto, está claro que el dato de la persona de contacto que aparece en los sobres o los paquetes, sería un dato de carácter personal pues se trata de información sobre una persona física identificable cuya identidad puede determinarse mediante el nombre y/o la dirección.

Por si fuera poco, la ley que regula el servicio postal universal, indica que los prestadores de servicios postales no podrán facilitar ningún dato relativo a la existencia del envío postal, a su clase, a sus circunstancias exteriores, a la identidad del remitente y del destinatario, ni a sus direcciones, y además determina la obligación de proteger la información transmitida o almacenada. Esto implica claramente que, además del nombre y la dirección indicados en el sobre, se consideran protegidos los datos relativos a la mera existencia del envío postal y a la identidad del remitente y el destinatario, entre otros, y que el hecho de que no se almacene la información, es decir, que no se haga una lista de los envíos, sino que sea meramente transmitida, quedará recogido también dentro de la protección de los datos personales.

Por tanto, atendiendo a la definición de encargado del tratamiento facilitada por la propia normativa de protección de datos, se estaría actuando como tal en el momento en el que se sigan las indicaciones del responsable que es quién decide sobre el tipo de envío, en que horario se deberá realizar y dónde se debe entregar la correspondencia. Es decir, el prestador del servicio no puede decidir sobre estas cuestiones sino que deberá dar exclusivo cumplimiento a las indicaciones de la empresa que contrata sus servicios.

En definitiva, queda claro que el prestador de servicios de mensajería es encargado pues accede a los datos personales indicados en el sobre, entre otros, y, como ya hemos visto, deberá garantizar, tal y como establece la normativa, que guardará la diligencia debida y que los datos no serán utilizados para otra finalidad. Para llevar esto a cabo, deberán tener firmado el contrato entre responsable y encargado, así como permitir y cooperar para que se evalúe su cumplimiento de la normativa de protección de datos poniendo a disposición de los responsables toda la información necesaria para demostrar el cumplimiento de sus obligaciones.

¿Puede el presidente de la comunidad acceder a los datos de los propietarios?

Como ya hemos visto, el responsable del tratamiento es aquella persona que define los fines y medios, mientras que el encargado del tratamiento es la persona que trata datos personales por cuenta del responsable del tratamiento.

Como también hemos expuesto, la comunidad de propietarios sería la responsable del tratamiento mientras que los administradores de fincas, cuando llevan a cabo la gestión de las comunidades de propietarios, por aplicación de la legislación de protección de datos, tendrían la función de encargados de tratamiento.

Por tanto, ¿qué papel tiene en todo esto el presidente? Pues según la Ley de Propiedad Horizontal es quien ostenta la representación de la comunidad de propietarios.

Artículo 13.3 de la LPH: “El presidente ostentará legalmente la representación de la comunidad, en juicio y fuera de él, en todos los asuntos que la afecten”.

Entonces, con lo que hemos visto, podríamos afirmar sin lugar a dudas que sí que es posible que el presidente de la comunidad de propietarios tenga acceso a los datos de la misma, puesto que se trata de la persona que representa a la comunidad de propietarios como responsable del tratamiento.

Aun así, claro está, el presidente podrá tratar los datos siempre que sean necesarios para la finalidad para la cual fueron recogidos, es decir, para la gestión de la comunidad de propietarios. Si se quisieran utilizar los datos de los propietarios para una finalidad diferente, sería necesario recoger el consentimiento de cada uno de ellos o bien encuadrarlo dentro de cualquier otra base jurídica legitimadora para el tratamiento, si es que esto es posible.

¿Qué es la evaluación de encargado?

A algunos de vosotros puede que vuestros clientes empresa os hayan enviado una evaluación de encargado del tratamiento en la que os hacen una serie de preguntas sobre cómo tratáis los datos personales que os facilitan. Si no sabéis de que va el tema, no desesperéis y digáis “no, no lo hago”, porque es algo muy sencillo, necesario, útil y que conviene hacer.

Antes de nada, aclarar que no se trata de una evaluación de los servicios que prestamos a nuestros clientes, sino que únicamente está enfocada a la protección de datos.

Como ya hemos visto, el encargado del tratamiento es aquel que trata datos personales por cuenta del responsable del tratamiento.

¿Qué quiere decir esto? Pues que el responsable contrata a una persona para que le preste un servicio. A efectos de la protección de datos, ese prestador de servicios es un encargado del tratamiento ya que los datos que está tratando no son sus propios datos, ni de sus clientes, empleados, solicitantes de información, etcétera, sino que se trata de los datos que pone a su disposición el responsable de los mismos, el cual se los facilita para que pueda desempeñar la prestación del servicio contratado.

Sin embargo, esto no se aplica a cualquier prestador de servicio pues únicamente estaremos hablando de un encargado del tratamiento cuando los datos que el responsable pone a su disposición son datos de carácter personal. Es decir, debe tratarse de información sobre una persona física identificada o identificable, algo que no sucedería si lo que se contrata es la prestación de un servicio de limpieza o de mantenimiento de instalaciones o alojamiento web, entre otros.

Teniendo esto presente y una vez llegado a la conclusión de que se están tratando datos personales, tanto el RGPD como la LOPDGDD, establecen la importancia de que cualquiera que trate datos personales ofrezca garantías suficientes de que aplica medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme con los requisitos exigidos en materia de protección de datos de carácter personal.

En relación con esto, el artículo 5.2 del RGPD exige a los responsables no sólo una responsabilidad proactiva en cuanto al cumplimiento de los principios relativos al tratamiento indicados en el apartado 1 de dicho artículo, sino que estos también deben ser capaces de demostrar que efectivamente se ha cumplido con lo dispuesto en dichos principios.

Y esto no es sólo algo del reglamento europeo sino que además, en la propia legislación española, se refuerza esta responsabilidad activa indicándose en el artículo 28.1 de la LOPDGDD que ambos, responsable y encargado, aplicarán de manera efectiva medidas técnicas y organizativas para garantizar y acreditar que el tratamiento se realiza conforme a la normativa de protección de datos.

Los responsables y encargados, teniendo en cuenta los elementos enumerados en los artículos 24 y 25 del Reglamento (UE) 2016/679, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el citado reglamento, con la presente ley orgánica, sus normas de desarrollo y la legislación sectorial aplicable. En particular valorarán si procede la realización de la evaluación de impacto en la protección de datos y la consulta previa a que se refiere la Sección 3 del Capítulo IV del citado reglamento.

Además de lo que hemos visto, se indica en el artículo 28.1 del RGPD que el responsable tiene una responsabilidad proactiva a la hora de elegir un prestador de servicio que trate los datos que se le facilitan de manera diligente ofreciendo así garantías en cuanto a que el servicio que presta se hace conforme a la normativa al cumplirse con la protección de datos.

Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiados, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.

Y otra vez, por si no fuera suficiente, dicha exigencia se reitera en el considerando 81 del RGPD, en el cual se requiere de nuevo que el responsable recurra únicamente a aquellos encargados que ofrezcan garantías suficientes en lo que respecta al tratamiento de los datos que realizan.

(81) Para garantizar el cumplimiento de las disposiciones del presente Reglamento respecto del tratamiento que lleve a cabo el encargado por cuenta del responsable, este, al encomendar actividades de tratamiento a un encargado, debe recurrir únicamente a encargados que ofrezcan suficientes garantías, en particular en lo que respecta a conocimientos especializados, fiabilidad y recursos, de cara a la aplicación de medidas técnicas y organizativas que cumplan los requisitos del presente Reglamento, incluida la seguridad del tratamiento.

Por tanto, queda claro que para cumplir con todo lo dispuesto en la normativa de protección de datos, el responsable deberá establecer un procedimiento de evaluación de sus encargados mediante el cual pueda dirimir, e incluso llegar a acreditar en el caso de que fuese necesario, que la elección del prestador de servicios se realizó conforme a la normativa en materia de protección de datos y en consonancia con el principio de responsabilidad proactiva que rige cualquier tratamiento de datos.

Y dirás “pues es un problema del responsable, que se haga él el cuestionario”, pero eso no es del todo así.

De acuerdo con lo establecido en el artículo 28.3.h) del RGPD, el encargado deberá colaborar con el responsable facilitándole toda la información que éste necesite para demostrar el cumplimiento de las obligaciones que se le imponen en materia de protección de datos. El cumplimiento de este precepto normativo entonces se haría efectivo mediante la cumplimentación de la evaluación.

[El encargado] pondrá a disposición del responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el presente artículo, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones, por parte del responsable o de otro auditor autorizado por dicho responsable.

Entonces, según todo lo que hemos visto, para dar cumplimiento a las exigencias dispuestas en el RGPD y en la LOPDGDD, los encargados del tratamiento deben cumplir y respetar todas las normas y obligaciones aunque no se trate de sus datos, así como colaborar con los responsables poniendo a su disposición toda la información necesaria para demostrar el cumplimiento de sus obligaciones.

En definitiva, y como ya hemos visto, el cumplimiento de la normativa en materia de protección de datos es importante pues las sanciones administrativas en caso contrario son de gran envergadura.

Aun así, y de todas maneras, el cumplimiento de la normativa de protección de datos debe hacerse en todo caso, por lo que tampoco es que nos suponga un esfuerzo extra el completar un cuestionario como encargados que, por otro lado, nos están pidiendo nuestros propios clientes.

Responsable, corresponsable y encargado

Unos de los conceptos más básicos que hay que tener claros en protección de datos son los de responsable, corresponsable y encargado.

En primer lugar, el responsable del tratamiento será la persona física o jurídica, de naturaleza pública o privada, que determine los fines y medios del tratamiento. Es decir, es la persona que decide qué datos de carácter personal se van a recabar, qué se va a hacer con ellos, cuanto tiempo se van a conservar o si se van a ceder, entre otras cosas.

En contraposición con esta figura se encuentra la del encargado del tratamiento que es la persona física o jurídica, de naturaleza pública o privada, que trata datos personales por cuenta del responsable del tratamiento.

Por tanto, para diferenciar la figura del responsable de la del encargado, bastará con hacerse una pregunta ¿quién decide para qué y cómo se van a tratar los datos recabados?

Será el responsable en todo momento quien influirá sobre los fines y los medios del tratamiento mientras que el encargado simplemente se limitará a seguir las directrices impuestas por aquel.

En otro orden de ideas, existen situaciones en las que el responsable del tratamiento está claramente delimitado pues puede suceder que tenga una competencia jurídica explícita y bien determinada para poder llevar a cabo el tratamiento. Esto sucederá en casos en los que el responsable deba, por ejemplo, tratar los datos de sus empleados de cara a la realización de las nóminas, o bien tratar los datos de sus proveedores en base a su obligación de facturación.

Por otra parte, en la práctica sucede con frecuencia que el responsable contrata una prestación de servicios a un tercero para realizar alguna de las citadas actividades. Por ejemplo, para hacer esas nóminas de las que acabamos de hablar puede que el responsable delegue dicha realización a una gestoría externa. Esta gestoría, por tanto, será encargada del tratamiento con respecto de los datos de los trabajadores, pues no puede tomar sus propias decisiones sobre cómo utilizar dichos datos sino que los términos de utilización de los datos los determina el responsable.

Teniendo esto presente y en relación con esta figura del encargado del tratamiento, el responsable siempre tendrá que buscar que, aquel proveedor que le preste un servicio para el que tenga que acceder a sus datos, ofrezca garantías suficientes en cuanto al cumplimiento de la normativa de protección de datos y se comprometa a actuar con la diligencia debida. Para ello ambas partes deberán firmar un contrato responsable – encargado.

Aun así esto no es suficiente y deberá también el encargado facilitarle al responsable toda la información que éste le solicite en cuanto a la manera en que realiza el tratamiento de los datos y las medidas técnicas y organizativas implementadas dentro de su organización para llevar a cabo la protección de datos. Dicha comprobación se podrá realizar mediante una solicitud de información a través de un cuestionario al que se deberá adjuntar documentación acreditativa suficiente sin que sea idóneo dar por válido la mera respuesta positiva a todas las cuestiones planteadas en relación con las medidas exigidas por la normativa de protección de datos sin que exista una comprobación de la realidad de las mismas.

Por último, pasando a analizar la figura de la corresponsabilidad, esta supone que se realice un control y determinación de la finalidad del tratamiento conjunto entre ambas partes. Dicho tratamiento conjunto debe ser de carácter real sin que sea determinante el hecho de que exista un contrato en el que se detalle que se está ante una corresponsabilidad cuando, de facto, la determinación de los fines y los medios se lleve a cabo únicamente por una de las partes.

Por tanto, el escenario de la corresponsabilidad supone que dos o más responsables traten datos personales conjuntamente aunque sin necesidad de que tomen decisiones en relación con los objetivos y medios adoptadas al 50 % entre ambos.

Esta situación de corresponsabilidad deberá formalizarse por todas las partes involucradas a través de un acuerdo escrito indicando en el mismo los medios y fines del tratamiento, la colaboración en el análisis de riesgos, la asistencia en procesos de brechas de seguridad y de gestión de derechos, y la determinación de las responsabilidad de cada uno, entre otras cosas, además de ser siempre trasparentes de cara a los titulares de los datos a través de las correspondientes cláusulas de información.

En definitiva, aun así y después de haber delimitado estas tres figuras, en la práctica no todos los casos son claros y puede suceder que no estén bien diferenciadas. Ocurre a veces que el encargado se atribuye el rol de responsable, o que los responsabables quieren que los encargados asuman todas las responsabilidades, o que existan cesionarios que quieren ser tratados como corresponsables, o incluso que un corresponsable prefiera posicionarse contractualmente como encargado para no asumir toda la responsabilidad que entraña la figura de responsable.

Está en manos de cada uno pararse a pensar y colaborar conjuntamente entre las partes intervinientes para determinar qué tipo de tratamiento se está haciendo, quién está decidiendo sobre el mismo, y cómo se está llevando a cabo.

¿Puede un propietario acceder a las cuentas de la comunidad?

Como ya hemos visto, en la gestión de la comunidad de propietarios se tratan datos personales.

Este concepto de datos personales incluye todos aquellos que proporcionen información, cualquiera que sea la clase de esta, sobre una persona física identificada o identificable.

Siguiendo esta línea de pensamiento, en relación con el tema de los movimientos en las cuentas bancarias de la comunidad de propietarios, los datos contenidos en ellas tales como son los datos identificativos de las cuentas corrientes de los vecinos que realizan los pagos, los coeficientes de participación o incluso los vecinos deudores, entre otros, son datos de carácter personal.

Del mismo modo, también es un dato personal aquel que se refiere a los empleados que pueda tener la comunidad así como de los prestadores de servicios profesionales y las cuentas bancarias de ambos.

Es decir, el portero de la comunidad no es menos y sus datos tampoco. Del mismo modo que tampoco lo es el administrador de cuentas o abogado al que se le han pagado los honorarios desde la cuenta de la comunidad. La vecina del 6º B, que no es la presidenta y que a lo mejor no es ni propietaria, no tiene porqué saber el número de cuenta del administrador ni del portero.

En relación con esto, para que el tratamiento de los datos sea lícito será necesario que se dé alguna base legitimadora para el mismo. Teniendo esto en cuenta, el tratamiento de datos que hace la comunidad se basa en su interés legítimo para la finalidad de administración de la comunidad, mientras que puede fundarse en la ejecución de un contrato en el caso de los datos del portero. Sea como fuere, el tratamiento tiene una legitimación clara.

Sin embargo, y aunque la ley permite comunicar los datos personales de un interesado a un tercero para el cumplimiento de intereses legítimos del responsable o para cumplir con una obligación legal del mismo que le habilite para dicha cesión, para el caso de la cesión de los datos a otro vecino no se cumplen estos requisitos pues el hecho de que la vecina del 6º B conozca los datos de cuentas bancarias del resto de propietarios y de los trabajadores de la comunidad, no contribuye a la finalidad de la correcta administración de la comunidad de propietarios.

Y todo esto sin olvidar que entre las obligaciones del responsable está la transparencia de información y por ello deberá tomar las medidas oportunas para facilitar al interesado, es decir, al resto de propietarios de la comunidad y sus trabajadores, la información relativa al tratamiento que se va a realizar sobre sus datos de manera concisa, transparente, inteligible y de fácil acceso y con un lenguaje claro y sencillo.

En este sentido, en ningún momento se ha comunicado a los interesados que sus datos vayan a ser cedidos al resto de propietarios, por lo que no estaría permitida dicha cesión, además de que dicha cesión no tendría ninguna razón de ser.

Lo veas por donde lo veas, estos datos no resultan relevantes para el resto de propietarios y no podría encuadrarse la cesión de los mismos dentro de la actividad de gestión de la comunidad.

Por tanto, como hemos visto, la cesión de los datos personales de los propietarios y del personal de la comunidad que contienen los movimientos bancarios en las cuentas de la comunidad supondría una cesión ilegal de datos, una conducta que es susceptible de ser sancionada conforme a la normativa de protección de datos.

Sin embargo, aunque la exhibición de los datos personales a un vecino no autorizado para verlos resultaría contraria a la normativa de protección de datos, sí que se debe en todo momento mantener informados a los propietarios de los costes asumidos por la comunidad para su mantenimiento con el adecuado desglose de los gastos soportados, claro está.