¿Conoces tus derechos si te incluyen en un grupo de Whatsapp?

Si tu cuñado (o quien sea) te incluye en un grupo de whatsapp sin tu consentimiento, quizás esté  cometiendo una infracción en materia de datos personales, ¿exageración? Pues no. La Agencia Española de Protección de Datos Personales acaba de dictar la Resolución  R/02302/2017, de 11 de octubre en la que analiza si es así, y haciendo un spoiler, avanzo ya que sí, que te pueden imponer una sanción por esta actuación en apariencia inofensiva.

Los hechos

  • Se realiza una reserva para una cena (el día de Nochevieja) en un determinado restaurante (el denunciado), y varios días antes de la cena, se crea un grupo de whatsapp con las personas que participaban en la cena ese día.
  • Uno de los miembros (el denunciante) salió del grupo pero fue incluido nuevamente por el administrador, recibiendo un mensaje privado, en el que le comunican que si sale del grupo se anulará la reserva.
  • En el citado grupo se publicó una lista de los asistentes con nombres y apellidos, las mesa donde se sentarían y cuantas personas le acompañaran y en otra anexa:
    • Copia de la pantalla del teléfono con mensajes de whatsapp.
    • Copia del listado, que al parecer fue remitido al grupo.
    • Copia del listado de participantes que aparece en la creación del grupo.
  • Se formula denuncia contra dicha actuación ante la AEPD por uno de los comensales

Las infracciones

1ª Infracción.- El artículo 6.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Pesonal (LOPD) establece que:

“El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.

Queda acreditado que el restaurante en cuestión es responsable de la creación de un grupo de whatsapp con las personas que participaban en la cena de Nochevieja y que en el mensaje de whatsapp se insertó un listado con los datos personales de todos los comensales que habían reservado mesa para la cena de esa noche, sin que el denunciante hubiera consentido con anterioridad dicho tratamiento de sus datos personales. Estos hechos nos situarían ante la comisión de la siguiente infracción recogida en el artículo 44.3.b) de la LOPD como infracción grave:

b) Tratar los datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo.”

2ª Infracción. Pero el asunto no queda ahí.  Procede también determinar las responsabilidades que se derivan de la revelación de datos que resulta de la divulgación en un grupo de whatsapp de los datos de todas las personas que han reservado una mesa para cenar ese día y el artículo 10 de la LOPD dispone:

“El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”.

En el presente caso, el denunciado, con la incorporación de un listado con los datos personales de todos los que habían reservado una mesa para la cena del día 31 de diciembre, permitió el acceso por parte de terceros a datos personales relativos al afectado, según el detalle que consta en los hechos probados, aspecto que ha quedado acreditada  sin que el titular de los datos o sus representantes legales hubiesen prestado su consentimiento para ello. Es decir,  se vulneró el deber de secreto, garantizado en el artículo 10 de la LOPD, al haber posibilitado el acceso no restringido por terceros a datos personales sin contar con el consentimiento del titular de tales datos.

La vulneración del deber de secreto aparece tipificada como infracción grave en el artículo 44.3.d) de la LOPD. En este precepto se establece lo siguiente:

“d) La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley”.

Ante la concurrencia de dos infracciones, la AEPD  aprecia concurso medial entre las dos infracciones y procede únicamente declarar la infracción más grave que, en este caso, corresponde a la prevista para la infracción del artículo 6 de la LOPD (tratamiento de los datos sin consentimiento del afectado) que, además, se trata de la infracción originaria que ha implicado la comisión de la otra.

La sanción

La LOPD contempla sanciones pecuniarias que van desde los 900 a los 600.000 €, pero, en este caso, la AEPD se apiada del infractor, y tal y como permite el artículo 45.6 LOPD, acuerda la no apertura del procedimiento sancionador y, en su lugar, apercibir al sujeto responsable. Para ello toma en consideración la no vinculación de la actividad del denunciado con la realización de tratamientos de datos de carácter personal, la ausencia de reincidencia y que no constan perjuicios causados a las personas interesadas o a terceras personas, salvo las que se desprenden de la infracción cometida.

En consecuencia, la hipotética sanción se ve sustituida por el apercibimiento al infractor, que se acompaña del requerimiento, como medida correctora, de “no cree grupos de whatsapp de comensales, salvo que cuente con el consentimiento de los mismos para la finalidad de ubicarles en sus mesas”

Moraleja: Ahora que se aproximan las cenas de Navidad, cuidado con a quién incluyes en tus grupos de whatsapp…

Puedes consultar la resolución completa aquí