La Agencia Española de Protección de Datos (AEPD) ha sido noticia últimamente por dos sanciones impuestas a diferentes responsables del tratamiento que tienen en común un uso de la aplicación de mensajería WhatsApp contrario a lo previsto en la normativa aplicable en materia de protección de datos personales.
El uso de WhatsApp se ha extendido ya no únicamente en ámbitos personales y cotidianos, sino que además se ha normalizado su uso en el ámbito profesional y comercial. Ello provoca que se tienda a un trato más informal y cercano con los consumidores o interesados por parte de los responsables del tratamiento, pero al mismo tiempo aumenta el riesgo de dejar de cumplir con ciertos requerimientos formales exigidos por el RGPD, como puede ser la obligación de informar al interesado sobre el tratamiento de sus datos personales.
A continuación, se detallan dos casos recientes que la AEPD ha resuelto con sanciones de 2.000 y 4.000 euros para los responsables infractores y que tienen como nexo común un defectuoso uso de WhatsApp.
En el primer caso a tratar, un candidato a un puesto de trabajo denunció a la AEPD que la empresa no le había informado sobre el tratamiento que iba a realizar de sus datos personales ni sobre los derechos que le asistían, tal y como exige el artículo 13 del RGPD.
El candidato envió a la empresa responsable su CV a través de WhatsApp al número de teléfono que constaba en el anuncio publicado por la misma en internet. Sin embargo, ni en el propio anuncio ni en conversaciones posteriores mantenidas por WhatsApp con el candidato, procedió la empresa a informarle sobre el tratamiento que iba a efectuar de sus datos personales ni de sus derechos, lo cual supone una infracción del artículo 13 del RGPD.
Una vez interpuesta la denuncia por el interesado a la AEPD, la Agencia envió a la empresa un requerimiento solicitando información sobre el suceso, al cual la empresa no respondió, por lo que la AEPD notificó al responsable del tratamiento el inicio de un procedimiento sancionador. Al que tampoco procedió a presentar alegaciones ni pruebas.
Ante la infracción de la obligación de informar (art.13 RGPD) por parte del responsable y su total inactividad ante los requerimientos efectuados por la Agencia, esta falló imponerle una sanción de 2.000 euros.
Respecto al segundo caso, se trata de la exmiembra de un club de tenis que denunció a la AEPD que había sido agregada a un grupo de WhatsApp por parte de responsables del club sin haber prestado ella su consentimiento y a pesar de no ser miembro desde hacía 10 años, de tal modo que se compartían su número de teléfono, nombre y foto de perfil con el resto de participantes del grupo.
En este supuesto, el club de tenis incurre en la infracción de múltiples preceptos del RGPD.
En primer lugar, infringe el principio de la limitación del plazo de conservación de los datos, previsto en el artículo 5.1.e), pues al añadir a la interesada al grupo de WhatsApp, pone de manifiesto que todavía conservaba sus datos personales a pesar de que no se mantenía ninguna finalidad por la cual fueron originariamente tratados, pues dejó de ser miembro del club hacía ya 10 años.
En segundo lugar, trata los datos de la exsocia sin estar legitimado para ello (art. 6 RGPD), pues en ningún momento ha prestado ella su consentimiento para poder ser añadida al grupo de WhatsApp, ni existe ninguna otra causa que pueda valer como base legal para dicho tratamiento de datos.
Por último, el club infringió los artículos 32.1.b) y 32.1.d) del RGPD, relativo a las medidas de seguridad que deben tomar los responsables de tratamiento para garantizar la integridad, disponibilidad y confidencialidad de los datos, así como llevar a cabo procesos de validación, evaluación y revisión de las medidas técnicas de seguridad implantadas. Al meter a la exsocia en el grupo se produjo una violación de la confidencialidad de su número de teléfono, foto de perfil y nombre, poniendo en evidencia que las medidas de seguridad eran deficientes.
A raíz de la denuncia y las evidencias aportadas por la interesada, la AEPD requirió al club de tenis para que aportara información sobre el suceso y presentara alegaciones, sin embargo y como en el caso anterior, este hizo caso omiso a las notificaciones de la AEPD, no proporcionando ningún tipo de información.
Ante tal tesitura, la AEPD procedió a sancionar al responsable con 4.000 euros: 1.000 por la falta de base legítima, 1.000 por el incumplimiento del principio de limitación de conservación de los datos y 2.000 por las deficientes medidas de seguridad.
A modo de conclusión, lo que ponen de manifiesto estos casos es que hay que ser muy cauto a la hora de hacer uso de WhatsApp en ámbitos profesionales y, en ningún caso, obviar las formalidades exigidas por la normativa aplicable en materia de protección de datos personales en las relaciones con los interesados.
Asimismo, cabe recordar la importancia de dar respuesta a los requerimientos de la AEPD y colaborar aportando la información solicitada por esta, pues son pocos los casos que terminan en sanción cuando el responsable demuestra predisposición a mitigar los incidentes o incumplimientos que pueda haber cometido en el tratamiento de datos personales de los interesados.
