A todos nos ha ocurrido alguna vez: de repente nos vemos incluidos en un grupo de WhatsApp sin que hayamos prestado nuestro consentimiento. Muchas veces, además, se trata de grupos en los que aparecen personas a las que no conocemos, y en los que se comparte información personal (nombre, apellidos, a veces teléfonos o emails...) sin que nadie nos haya preguntado si estamos de acuerdo. Más allá de las prácticas cotidianas que podamos llevar a cabo en nuestro círculo personal, crear grupos de este tipo e incluir a personas desconocidas entre sí sin su consentimiento expreso puede suponer una sanción por incumplimiento de la Ley de Protección de Datos. Si tienes un negocio de cualquier tipo -o también si eres un particular- y utilizas esta herramienta para comunicarte con tus empleados o clientes, toma nota de este post.
Hoy analizamos una reciente Resolución emitida por la Agencia Española de Protección de Datos (AEPD). En concreto, la Resolución R/02302/2017, en la que la AEPD apercibe a una empresa dedicada a la restauración que, poco antes de la celebración de una cena de Nochevieja, decidió crear un grupo de WhatsApp incluyendo a los futuros comensales. En este grupo, además, se incluyó información personal acerca de los posibles asistentes, sus acompañantes y su ubicación en las mesas. Y todo ello sin haber obtenido su consentimiento previamente.
Además, el establecimiento dificultó la salida del grupo. Esto fue precisamente lo que le ocurrió al denunciante: tras decidir salir de éste, fue incluido nuevamente por el administrador, recibiendo un mensaje privado en el que se le comunicó que, en caso de salir del grupo, se anularía su reserva.
Sanciones graves en materia de Protección de Datos
De la resolución de la AEPD se desprenden varias infracciones. La primera está relacionada con el artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Pesonal (LOPD), que establece que “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”. En este sentido, la AEPD considera acreditado que el restaurante en cuestión es responsable de la creación de un grupo de WhatsApp con las personas que participaron en la cena de Nochevieja y que en el mensaje de WhatsApp se insertó un listado con los datos personales de todos los comensales que habían reservado mesa para la cena, sin que el denunciante hubiera consentido con anterioridad dicho tratamiento de sus datos personales. Estos hechos nos situarían ante la comisión de la siguiente infracción recogida en el artículo 44.3.b) de la LOPD como infracción grave:
“b) Tratar los datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo.”
Otra infracción tiene que ver con el artículo 10 de la LOPD, que dispone que “el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”.
En este caso, el denunciado, con la incorporación de un listado con los datos personales de quienes habían reservado una mesa, permitió el acceso por parte de terceros a datos personales relativos al afectado. Por tanto, se vulneró el deber de secreto, garantizado en el artículo 10 de la LOPD, al haber posibilitado el acceso no restringido por terceros a datos personales sin contar con el consentimiento del titular de tales datos. Se trata también de una infracción grave del artículo 44.3.d) de la LOPD, que se refiere a:
“d) La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley”.
Más noticias sobre Protección de Datos.
Una sanción proporcionada
Con todo, la LOPD decide no sancionar al restaurante, sino simplemente apercibirlo, a pesar de que se contemplan sanciones desde los 900 a los 600.000 euros por este tipo de infracciones. Se basa para tomar esta decisión en varios factores: la falta de vinculación de la actividad del denunciado con la realización de tratamientos de datos de carácter personal, la ausencia de reincidencia y el hecho de que no constaran perjuicios causados a las personas interesadas o a terceras personas, salvo las que se desprenden de la infracción cometida.
La moraleja final: no es conveniente crear grupos de WhatsApp de cualquier tipo salvo que se cuente con el consentimiento expreso de sus miembros para la finalidad que persiga el grupo. Hay que ser extremadamente delicado, además, con la información personal que se comparta, por lo que resulta muy recomendable cubrir todos los frentes posibles de actividad a la hora de elaborar el documento de consentimiento. Los supuestos en los que se lleva a cabo esta práctica sin demasiada previsión son muchos: grupos de padres en los colegios, grupos de empresa para compartir información, grupos de afectados por alguna situación… A ello se suma que la protección de datos es un asunto europeo: existe normativa a l que tendrás que hacer frente en cualquier país de la UE. Si necesitas ayuda legal en cualquier asunto relacionado con protección de datos, contacta con nosotros y te ayudaremos.
Utilizamos cookies en este sitio web para mejorar su experiencia de usuario.
Al hacer clic en cualquier enlace de este sitio web usted nos está dando su consentimiento para la instalación de las mismas en su navegador.
Functional
Siempre activo
The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.
Preferencias
El almacenamiento o acceso técnico es necesario para la finalidad legítima de almacenar preferencias no solicitadas por el abonado o usuario.
Statistics
The technical storage or access that is used exclusively for statistical purposes.El almacenamiento o acceso técnico que se utiliza exclusivamente con fines estadísticos anónimos. Sin un requerimiento, el cumplimiento voluntario por parte de tu Proveedor de servicios de Internet, o los registros adicionales de un tercero, la información almacenada o recuperada sólo para este propósito no se puede utilizar para identificarte.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.
