Grupos de WhatsApp y protección de datos: ¿Es necesario consentimiento?

Grupos de WhatsApp y protección de datos
Bressers Law Protección de datos

10/11/2017

A todos nos ha ocurrido alguna vez: de repente nos vemos incluidos en un grupo de WhatsApp sin que hayamos prestado nuestro consentimiento. Muchas veces, además, se trata de grupos en los que aparecen personas a las que no conocemos, y en los que se comparte información personal (nombre, apellidos, a veces teléfonos o emails...) sin que nadie nos haya preguntado si estamos de acuerdo. Más allá de las prácticas cotidianas que podamos llevar a cabo en nuestro círculo personal, crear grupos de este tipo e incluir a personas desconocidas entre sí sin su consentimiento expreso puede suponer una sanción por incumplimiento de la Ley de Protección de Datos. Si tienes un negocio de cualquier tipo -o también si eres un particular- y utilizas esta herramienta para comunicarte con tus empleados o clientes, toma nota de este post. 

Hoy analizamos una reciente Resolución emitida por la Agencia Española de Protección de Datos (AEPD). En concreto, la Resolución R/02302/2017, en la que la AEPD apercibe a una empresa dedicada a la restauración que, poco antes de la celebración de una cena de Nochevieja, decidió crear un grupo de WhatsApp incluyendo a los futuros comensales. En este grupo, además, se incluyó información personal acerca de los posibles asistentes, sus acompañantes y su ubicación en las mesas. Y todo ello sin haber obtenido su consentimiento previamente. 

Además, el establecimiento dificultó la salida del grupo. Esto fue precisamente lo que le ocurrió al denunciante: tras decidir salir de éste, fue incluido nuevamente por el administrador, recibiendo un mensaje privado en el que se le comunicó que, en caso de salir del grupo, se anularía su reserva.

Sanciones graves en materia de Protección de Datos

De la resolución de la AEPD se desprenden varias infracciones. La primera está relacionada con el artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Pesonal (LOPD), que establece que “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”. En este sentido, la AEPD considera acreditado que el restaurante en cuestión es responsable de la creación de un grupo de WhatsApp con las personas que participaron en la cena de Nochevieja y que en el mensaje de WhatsApp se insertó un listado con los datos personales de todos los comensales que habían reservado mesa para la cena, sin que el denunciante hubiera consentido con anterioridad dicho tratamiento de sus datos personales. Estos hechos nos situarían ante la comisión de la siguiente infracción recogida en el artículo 44.3.b) de la LOPD como infracción grave:

b) Tratar los datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo.” 

Otra infracción tiene que ver con el artículo 10 de la LOPD, que dispone que “el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”.

En este caso, el denunciado, con la incorporación de un listado con los datos personales de quienes habían reservado una mesa, permitió el acceso por parte de terceros a datos personales relativos al afectado. Por tanto, se vulneró el deber de secreto, garantizado en el artículo 10 de la LOPD, al haber posibilitado el acceso no restringido por terceros a datos personales sin contar con el consentimiento del titular de tales datos. Se trata también de una infracción grave del artículo 44.3.d) de la LOPD, que se refiere a:

“d) La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley”.

Más noticias sobre Protección de Datos.

Una sanción proporcionada

Con todo, la LOPD decide no sancionar al restaurante, sino simplemente apercibirlo, a pesar de que se contemplan sanciones desde los 900 a los 600.000 euros por este tipo de infracciones. Se basa para tomar esta decisión en varios factores: la falta de vinculación de la actividad del denunciado con la realización de tratamientos de datos de carácter personal, la ausencia de reincidencia y el hecho de que no constaran perjuicios causados a las personas interesadas o a terceras personas, salvo las que se desprenden de la infracción cometida.

La moraleja final: no es conveniente crear grupos de WhatsApp de cualquier tipo salvo que se cuente con el consentimiento expreso de sus miembros para la finalidad que persiga el grupo. Hay que ser extremadamente delicado, además, con la información personal que se comparta, por lo que resulta muy recomendable cubrir todos los frentes posibles de actividad a la hora de elaborar el documento de consentimiento.

Los supuestos en los que se lleva a cabo esta práctica sin demasiada previsión son muchos: grupos de padres en los colegios, grupos de empresa para compartir información, grupos de afectados por alguna situación… A ello se suma que la protección de datos es un asunto europeo: existe normativa a l que tendrás que hacer frente en cualquier país de la UE. 

Si necesitas ayuda legal en cualquier asunto relacionado con protección de datos, contacta con nosotros y te ayudaremos.

  WhatsApp  protección de datos

Native speakers

Abogados nativos

Cabinet international ayant plus de 10 ans d’expérience

Despacho internacional con más de 10 años de experiencia

Structure solide et multidisciplinaire

Estructura sólida y multidisciplinar

Plus de 300 clients internationaux chaque année

Más de 300 clientes internacionales al año