¿En qué casos añadir personas a grupos de WhatsApp supone una infracción grave según la LOPD?
La Agencia Española de Protección de Datos (AEPD) ha determinado que es una infracción grave incluir en un grupo de WhatsApp a un usuario sin su consentimiento, una decisión que no afecta al ámbito doméstico y familiar y que busca proteger la privacidad de los datos personales y la finalidad con la que se ceden.
Resoluciones de la AEPD
En una de sus resoluciones, la nº R/02302/2017, apercibe a una empresa dedicada a la restauración que, poco antes de la celebración de una cena de Nochevieja, decidió crear un grupo de WhatsApp incluyendo a los futuros comensales. En este grupo, además, se incluyó (sostiene la resolución) información personal acerca de los posibles asistentes, sus acompañantes y su ubicación en las mesas. Y todo ello, sin haber obtenido el consentimiento previo del cliente.
Además, el establecimiento supuestamente dificultó la salida del grupo al denunciante. Tras decidir salir del grupo, éste fue incluido nuevamente por el administrador, recibiendo un mensaje privado en el que se le comunicó que, en caso de salir del grupo, se anularía su reserva.
La AEPD se ha pronunciado recientemente en el mismo sentido calificando de infracción grave la actuación del Consistorio de Boecillo que, supuestamente, creó desde una línea móvil de su titularidad un grupo de WhatsApp al que incorporó los números de 255 personas. Los números de teléfono de los integrantes, la mayoría de ellos vecinos de la localidad, “eran visibles para todos los demás miembros”, entre los que se encontraba el vecino denunciante.
¿Qué incumplimientos e infracciones se cometen según la AEPD?
1) No disponer del consentimiento para tratar los datos personales
De las resoluciones de la AEPD se desprenden varias infracciones. La primera está relacionada con el artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD), que establece que “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.
En caso contrario se incurriría en la comisión de la infracción recogida en el artículo 44.3.b) de la LOPD como infracción grave:
“b) Tratar los datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo.”
2) Revelación de datos de carácter personal vulnerando el deber de secreto
Otra infracción tiene que ver con el artículo 10 de la LOPD, que dispone que “el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”.
Se trata también de una infracción grave del artículo 44.3.d) de la LOPD, que se refiere a:
“d) La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley”.
¿Qué resuelve la AEPD?
Atendidas las circunstancias de los casos expuestos y en consideración al hecho de que los responsables no habían sido sancionados ni apercibidos con anterioridad, la AEPD, haciendo uso del cauce excepcional del artículo 45.6 de la LOPD, en lugar de sancionar les apercibió, instándoles para que no volvieran a crear grupos de WhatsApp, salvo que contaran con el consentimiento de los miembros.
¿Cuál es el límite para incurrir en una infracción grave?
La Ley Orgánica de Protección de Datos (LOPD) no aplica la anterior regulación relativa al tratamiento de datos personales en el ámbito doméstico, por lo que los usuarios de WhatsApp incorporados a un grupo familiar, o entre amigos en los que todos sean conocidos, no se verían afectados inicialmente por la citada resolución.
Otra cosa es que se compartieran en el chat teléfonos de personas que no se conocen entre sí y, además, se hiciera para fines informativos, publicitarios o para el desarrollo de otras actividades profesionales diferentes al objetivo inicial para el cual se solicitaron esos datos personales, supuestos en los que se entiende que la ley sí sería aplicable.
¿Qué hacer para no incurrir en una infracción grave?
Dado que la red social WhatsApp permite incluir a los componentes del grupo sin cursar previo aviso de incorporación al interesado (y, por tanto, el afectado se ve inmerso automáticamente en el chat), sí sería aconsejable que el responsable de su creación informara antes a sus nuevos miembros (incluso en los casos de actividad restringida al uso doméstico), pues no hemos de perder de vista que, con esta acción, se está comunicando el teléfono de los integrantes del grupo al resto de participantes.
Supuestos de riesgo en los que se lleva a cabo esta práctica
Hay múltiples supuestos en los que se está incurriendo en esta práctica sin demasiadas previsiones. ¿Quién no se ha visto inmerso en un grupo de padres del colegio, un grupo para la práctica deportiva o de ocio, grupos de empresa para compartir información, grupos de afectados por alguna situación? Son escenarios en los que habremos de aprender a dotarnos de una mayor prudencia.
Si quiere ampliar información o tiene dudas y necesita asesoramiento, GAMO Abogados puede ayudarle.