Cuidado con los grupos de WhatsApp: añadir personas sin su consentimiento puede suponer sanción de la AEPD
Las nuevas tecnologías introducen nuevos temas jurídicos a los que ciudadanos, abogados y jueces deben dar respuesta. Por ejemplo, el caso del que hablamos hoy: la inclusión sin consentimiento en grupos de WhatsApp. Se trata de una práctica relativamente extendida que, sin embargo, puede tener implicaciones en materia de Protección de Datos en relación con las personas incluidas en estos grupos. Hoy analizamos este asunto a la luz de una reciente resolución dictada por la Agencia Española de Protección de Datos (AEPD).
En su Resolución R/02302/2017, la AEPD apercibe a una empresa dedicada a la restauración que creó un grupo de WhatsApp con comensales para ubicarles en las mesas, y ello sin haber obtenido su consentimiento previamente. En el caso concreto de esta sanción, el grupo se creó para gestionar la reserva de una cena de Nochevieja pocos días antes de que ésta se celebrara, incluyendo a un conjunto de comensales sin su consentimiento. En el grupo se compartió un listado con los nombres y apellidos de los asistentes y sus acompañantes, así como información acerca de las mesas en las que deberían sentarse.
Otro punto que no gustó a la Agencia de Protección de Datos fue que el establecimiento impidiera o dificultara a los miembros del grupo su salida de éste, al informárseles de que, en caso de hacerlo, perderían su reserva. Esto fue precisamente lo que le ocurrió al denunciante: tras decidir salir del grupo, fue incluido nuevamente por el administrador, recibiendo un mensaje privado en el que se le comunicó que, en caso de salir del grupo, se anularía su reserva.
Una infracción en materia de Protección de Datos
De la resolución de la AEPD se desprenden varias infracciones. La primera está relacionada con el artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Pesonal (LOPD), que establece que “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”. En este sentido, la AEPD considera acreditado que el restaurante en cuestión es responsable de la creación de un grupo de WhatsApp con las personas que participaron en la cena de Nochevieja y que en el mensaje de WhatsApp se insertó un listado con los datos personales de todos los comensales que habían reservado mesa para la cena, sin que el denunciante hubiera consentido con anterioridad dicho tratamiento de sus datos personales. Estos hechos nos situarían ante la comisión de la siguiente infracción recogida en el artículo 44.3.b) de la LOPD como infracción grave:
“b) Tratar los datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo.”
Otra infracción tiene que ver con el artículo 10 de la LOPD, que dispone que “el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”.
En este caso, el denunciado, con la incorporación de un listado con los datos personales de quienes habían reservado una mesa, permitió el acceso por parte de terceros a datos personales relativos al afectado. Por tanto, se vulneró el deber de secreto, garantizado en el artículo 10 de la LOPD, al haber posibilitado el acceso no restringido por terceros a datos personales sin contar con el consentimiento del titular de tales datos. Se trata también de una infracción grave del artículo 44.3.d) de la LOPD, que se refiere a:
“d) La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley”.
Te puede interesar… WhatsApp, a juicio: últimas sentencias sobre el servicio de mensajería móvil
Una sanción proporcionada
Con todo, la LOPD decide no sancionar al restaurante, sino simplemente apercibirlo, a pesar de que se contemplan sanciones desde los 900 a los 600.000 euros por este tipo de infracciones. Se basa para tomar esta decisión en varios factores: la falta de vinculación de la actividad del denunciado con la realización de tratamientos de datos de carácter personal, la ausencia de reincidencia y el hecho de que no constaran perjuicios causados a las personas interesadas o a terceras personas, salvo las que se desprenden de la infracción cometida.
La lección final es la siguiente: no crear grupos de WhatsApp de cualquier tipo salvo que se cuente con el consentimiento expreso de sus miembros para la finalidad que persiga el grupo. Hay que ser extremadamente delicado, además, con la información personal que se comparta en estos grupos, por lo que resulta muy recomendable cubrir todos los frentes posibles de actividad a la hora de elaborar el documento de consentimiento. Los supuestos son muchos: grupos de padres en los colegios, grupos de empresa para compartir información…
Si necesitas ayuda legal en cualquier asunto relacionado con protección de datos, contacta con nosotros y te orientaremos sin compromiso.