Actualmente, la gran mayoría de los usuarios tenemos un grupo de WhatsApp, con la familia, los amigos, madres y padres del colegio, compañeros etcétera. Pero ¿qué ocurre cuando nos incluyen en un grupo en el trabajo? ¿Nuestro superior puede hacerlo sin nuestro consentimiento? A lo largo del presente articulo vamos a dar respuesta a estas preguntas.
Hace unas semanas, la Agencia Española de Protección de Datos (en adelante, AEPD) publicó una resolución (expediente nº 202105690) por la cual, la parte reclamante manifestaba que la empresa para la que prestaba sus servicios le había incluido, sin su previo consentimiento, en dos grupos de WhatsApp. En los mencionados grupos se publicaban datos relativos a las rutas de reparto, las personas que la realizan, las horas, la ubicación de las furgonetas al terminar la jornada y diversa información laboral. Todos los integrantes de los grupos tenían acceso a esta información de los demás compañeros. El reclamante, además, afirma que en los citados grupos se publica toda la información que necesitan para desarrollar su relación laboral motivo por el cual no podía abandonar los mismos.
Por parte de la AEPD se dio traslado a la empresa reclamada para que procediese a su análisis e informase de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos, el traslado no fue recogido por el responsable, ni por medios electrónicos ni por correo postal, entendiéndose, conforme a lo previsto en el artículo 43.2 de la LPACAP, rechazada.
No obstante, la Subdirección General de Inspección de Datos procedió a la realización de actuaciones previas de investigación para el esclarecimiento de los hechos en cuestión, y envió un requerimiento de información, el cual incluía el traslado original, a la entidad reclamada, la cual, contestó lo siguiente:
“La empresa entiende que la utilización de dispositivos móviles y sus herramientas (en este caso en sistema de mensajería instantánea WhatsApp), como medio de comunicación interno entre la misma y sus trabajadores, es imprescindible para su trabajo. Dicho trabajo, se realiza fuera de la sede laboral, al consistir el objeto del mismo, el reparto y entrega de paquetería en los domicilios de los destinatarios. (Empresa de Mensajería)
Por otra parte, esta empresa no ha recibido de ningún trabajado, hasta la fecha, ninguna solicitud o reclamación respecto a su inclusión en el grupo de WhatsApp de la Empresa.
En este ámbito, y como medida concreta, la empresa informa expresamente a sus trabajadores de la utilización como canal de comunicaciones de la App de mensajería instantánea WhatsApp, con la finalidad de utilizar esta vía de comunicación en asuntos relacionados con el contrato de trabajo, condiciones laborales, organización y desarrollo de tareas de trabajo y reparto, incluyendo su nombre, apellidos y número de teléfono en el grupo de WhatsApp «ARIATHOR LOGISTICS S.L.», creado con dicha finalidad. Con objeto de evitar conflictos o situaciones no deseadas se solicita su autorización expresa.”
Según la parte reclamada, la empresa informa expresamente a sus trabajadores de la utilización de WhatsApp como canal de comunicaciones entre la entidad y sus trabajadores y utilizándolo con la finalidad de informar a los empleados sobre asuntos relacionados con su trabajo. Asimismo, manifiestan que “con el objeto de evitar conflictos o situaciones no deseadas se solicita su autorización expresa”. Sin embargo, y según se desprende de la resolución, la empresa no acredita ante la Agencia, mediante la entrega de ningún documento, que las mencionadas alegaciones sean ciertas.
Nuestra autoridad de control, ya centrándose en el tratamiento de datos propiamente dicho, comienza haciendo referencia a los principios relativos a dicho tratamiento, los cuales encontramos en el artículo 5 del Reglamento General Europeo de Protección de Datos, adelante RGPD:
“…
c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);
…
f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).”
En este caso, como veremos más adelante, la Agencia solo hace mención a los principios de minimización de datos y de confidencialidad.
Continua así mencionando el artículo 6.1. RGPD, el cual regula la licitud del tratamiento:
“1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;
b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;
c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;
d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;
e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;
f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.”
Una vez nuestra autoridad de control hace alusión a la normativa aplicable al caso que nos atañe, la misma se centra en las conclusiones. Manifiesta que la reclamación se concreta en la creación de dos grupos de WhatsApp, por parte de la entidad reclamada, en los que se ha incluido a la parte reclamante sin su consentimiento.
Así, nos dice que la legitimación para el tratamiento de los datos personales puede encontrarse en cualquiera de los apartados señalados anteriormente en el apartado 1 del artículo 6 del RGPD. Señala que, en el ámbito de las relaciones laborales, el tratamiento de los datos personales se basa jurídicamente, de forma principal, en la ejecución del contrato de trabajo, aunque ciertos datos también podrán tratarse para cumplir las exigencias impuestas por la ley o por un convenio colectivo.
Una vez referenciada la base (o bases) de legitimación, el tratamiento de los datos personales también debe respetar los principios referenciados anteriormente, en este supuesto destacan el principio de minimización de datos, debiendo ser los adecuados, pertinentes y limitados a lo necesario en relación con los fines perseguidos; así como el principio de confidencialidad, asegurando que ninguna persona ajena al grupo de trabajo pueda acceder al mismo.
Así las cosas, la Agencia considera que, en este supuesto, no se han encontrado evidencias que acrediten la existencia de infracción en el ámbito competencial de la AEPD, por lo que se procede al archivo de las actuaciones.
Nuestra autoridad de control entiende que los datos objeto de tratamiento son los mínimos necesarios para la organización del trabajo particular llevado a cabo por la parte reclamada, la cual alega que ha informado a los trabajadores de la finalidad del tratamiento en los grupos de WhatsApp siendo la misma utilizar esta dicha de comunicación en asuntos relacionados con el contrato de trabajo, condiciones laborales, organización y desarrollo de tareas de trabajo y reparto y manteniendo la confidencialidad sobre ellos.
En las últimas semanas, esta resolución ha sido motivo de controversia entre profesionales de la privacidad, ya que la AEPD se muestra escueta a la hora de legitimar el tratamiento de datos personales en el ámbito laboral, y no hace referencia al origen del dispositivo (corporativo o personal), dejando abierta la base de legitimación para incluir a un trabajador en un grupo de WhatsApp a cualquiera de las dispuestas en el artículo 6.1 RGPD.
Sin embargo, en las últimas horas hemos tenido conocimiento de una respuesta a una consulta de la Agencia aclarando que su doctrina no ha cambiado en cuanto a la base de legitimación necesaria para incluir a personas en grupos de mensajería instantánea.
En dicha respuesta la AEPD manifiesta lo siguiente:
“…
El tratamiento del dato del correo electronico y teléfonos particulares del trabajador puede ser ignorado por el empresario, dado que ninguna norma exige que el trabajador, para la adecuada perfección de su relación contractual, haya de facilitar estos datos al empresario que presta sus servicios.
Es decir, dicho tratamiento excedería en cuanto al mismo de lo permitido inicialmente por la normativa de protección de datos, y más concretamente, de la legitimación del articulo 6 RGPD en base a la ejecución de un contrato. No obstante, si las circunstancias de la prestación de servicios para la empresa conllevasen una disponibilidad personal del trabajador fuera de su centro u horario de trabajo, una medida más moderada e igual de eficaz, sería la puesta a disposición del mismo de un instrumento de trabajo como sería un teléfono de empresa.
En todo caso, sería posible que los afectados facilitaran los datos referentes a su email y números telefónicos particulares, si bien la recogida de estos datos habría de ser de cumplimentación voluntaria, previa la obtención del consentimiento del trabajador, que podrá oponerse posteriormente a su tratamiento ejerciendo los derechos de oposición o supresión.
Por lo que se hace obligado distinguir entre el uso de unas herramientas facilitadas por la empresa o si se trata, si fuere el caso, de medios “particulares” que es donde podría entrar en juego el consentimiento de la persona afectada. Y todo esto debe ser ponderado caso a caso.
…
Sin embargo, el contrato de trabajo no legitima a la empresa para solicitar a la persona trabajadora todos esos datos (correo electronico, número de teléfono y cuenta bancaria), como ha puesto de manifiesto el Tribunal Supremo en relación con la dirección de correo electronico o el número de teléfono personal.”
Con esta aclaración, nuestra autoridad de control justifica que no hay cambio de criterio en relación con este asunto, y nos intenta dejar claros los siguientes elementos:
- La recogida de los datos referentes al email y número de teléfono particular del empleado debe ser voluntaria, previa la obtención del consentimiento del trabajador. Por tanto, se debe distinguir entre dispositivos corporativos y dispositivos personales.
- El contrato de trabajo no legitima por sí solo a la empresa para solicitar a la persona trabajadora los datos anteriormente mencionados, por lo que será necesario analizar en cada caso concreto la base jurídica alegada – contrato de trabajo, consentimiento o interés legítimo del empleador – la finalidad pretendida y los datos tratados.
