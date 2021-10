La Agencia Española de Protección de Datos (en adelante AEPD) ha sancionado con 4.000 euros a un club deportivo por incluir el número de teléfono de una antigua usuaria de su entidad en un grupo de WhatsApp sin su consentimiento. De esta forma, la AEPD considera que se han vulnerado cuatro artículos del Reglamento General de Protección de Datos (en lo sucesivo RGPD), en concreto, los artículos 5.1 e), 6, 32.1 b) y 32.1 d).

En este caso, el club deportivo utilizó el número de teléfono de la antigua usuaria sin su consentimiento contraviniendo así el 6 del RGPD que establece lo siguiente: “El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos”.

Conviene recordar que el consentimiento es ”toda manifestación de voluntad libre, específica, informada e inequívoca por la que este acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.

Además, la reclamante afirmó que fue usuaria del centro deportivo pero que hace más de diez años que no tiene ninguna relación con ellos. Y, aún no siendo cliente desde entonces, el club deportivo conservó sus datos personales, lo que supone la vulneración del artículo 5.1 e) del RGPD relativo al plazo de conservación de los datos personales: “Los datos personales serán: mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales”.

Así pues, según el artículo 5.1 e) los datos no podrán conservarse más que el tiempo necesario para la finalidad para la que fueron tomados

Dicho esto, incluir el número de teléfono de la reclamante en un grupo de WhatsApp además de lo anterior también supone una comunicación de datos a terceros y, en consecuencia, una vulneración de la confidencialidad de la información. En este caso concreto, como consecuencia de unas medidas de seguridad no adecuadas a la normativa de protección de datos, suponiendo tales hechos dos infracciones más al contravenir los artículos 32.1 b) y 32.1 d) del RGPD: “el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros: la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento”.

Llegados a este punto resulta necesario resaltar que no es la primera sanción de la AEPD por la inclusión del teléfono en un grupo de WhatsApp. En la misma línea, podemos citar como ejemplo el apercibimiento de la Autoridad de Control al restaurante mallorquín Es Molí d'en Sopa por crear un grupo de WhatsApp con los clientes que habían realizado una reserva en el establecimiento. La AEPD consideró demostrado que el restaurante: “es responsable de la creación de un grupo de whatsapp con las personas que participaban en la cena de Nochevieja. Asimismo, consta que en el mensaje de whatsapp, se insertó un listado con los datos personales de todos los comensales que habían reservado mesa para la cena de esa noche, sin que el denunciante hubiera consentido con anterioridad dicho tratamiento de sus datos personales".

Lo anterior supuso una doble infracción "del tratamiento de datos que supone incorporar datos personales a un grupo de WhatsApp, a su vez deriva en una vulneración del deber de secreto".

Otro ejemplo reseñable es la resolución condenatoria, pero sin sanción económica, de la AEPD en el caso ocurrido en Boecillo (Valladolid) por la creación, supuestamente por error, de un grupo en el que un concejal incluyó a 255 personas para informarles de lo que ocurría en el municipio. Lo que motivó la condena es que hay que recabar el consentimiento expreso de cada usuario, puesto que cualquier integrante del grupo puede ver el número de teléfono de los demás (no olvidemos que el número de teléfono es un dato personal).

Volviendo a la historia que nos ocupa, la ex socia del club deportivo, que como decíamos, hacía más de 10 años que ya no formaba parte de dicha entidad deportiva, decidió denunciar el caso y presentó una reclamación a la AEPD. Tras estudiar los hechos, la Autoridad de Control determinó que la inclusión de la usuaria a un grupo de WhatsApp del club deportivo infringía varios artículos "al haber tratado datos personales de la reclamante sin su consentimiento" y sancionó a dicha entidad deportiva con una multa de 4.000 euros (1.000 euros por cada una de estas faltas).

Para concluir, es importante mencionar que la creación de un grupo de WhatsApp sin pedir la autorización de los integrantes, no será ilícita, cuando la finalidad del tratamiento esté dentro del ámbito familiar o doméstico. Es decir, cuando por ejemplo se crea un grupo de amigos o de familia, a pesar de que se iniciara sin el permiso de los participantes, ya que esta excepción no vulneraría ninguna norma (así lo contempla el artículo 2.2 c) RGPD y el Considerando 18).

Ahora bien, para casos como el del club deportivo u otros comentados tendremos que pedir previamente el consentimiento a los integrantes del grupo de WhatsApp, si queremos evitar una eventual sanción. Otras opciones podrían ser en lugar de incluirlo directamente, enviar un enlace de invitación al grupo para que el interesado se adhiera si lo desea o no, o utilizar la funcionalidad 'lista de difusión' de WhatsApp para enviar el mensaje de forma individualizada.

Por último, si necesitas ayuda legal, puedes ponerte en contacto con nuestros especialistas en Protección de Datos en www.terminosycondiciones.es