| Resolución | PS-00251-2025 |
| Firmado | 2025-07-18T00:00:00Z |
| Enlace | 📋 |
El expediente sancionador se originó a partir de una reclamación presentada el 26 de diciembre de 2023 contra ADMINISTRACIONES BENIPON, S.L. (A. BENIPON), una administración de fincas. La reclamación se basó en una brecha de seguridad que ocurrió el 2 de mayo de 2023, afectando la información personal de los propietarios de una comunidad. La empresa subcontratada, ***EMPRESA.1, sufrió un ciberataque, pero A. BENIPON no informó a los afectados hasta el 16 de junio de 2023, incumpliendo el plazo de 72 horas establecido por ley para notificar a la autoridad de control.
La investigación reveló que A. BENIPON no contaba con la autorización previa y por escrito de la comunidad de propietarios para subcontratar el tratamiento de datos a ***EMPRESA.1, violando así el artículo 28.2 del RGPD. Además, no existía un contrato que estableciera las mismas obligaciones de protección de datos entre A. BENIPON y ***EMPRESA.1, incumpliendo el artículo 28.4 del RGPD. Finalmente, A. BENIPON no notificó la brecha de seguridad a la comunidad de propietarios en el plazo requerido, violando el artículo 33.2 del RGPD.
La sanción impuesta fue de 1100 euros en total, distribuida en tres multas: 300 euros por la infracción del artículo 28.2 del RGPD, 300 euros por la infracción del artículo 28.4 del RGPD y 500 euros por la infracción del artículo 33.2 del RGPD. Además, se ordenó a A. BENIPON que, en un plazo de seis meses, acreditara la autorización del responsable del tratamiento para la subcontratación y que había informado adecuadamente a la comunidad de propietarios sobre la brecha de seguridad.