En un entorno laboral cada vez más digitalizado, el uso de aplicaciones de mensajería instantánea como WhatsApp se ha convertido en una herramienta habitual para la comunicación entre empresas y trabajadores. Sin embargo, esta práctica no está exenta de riesgos legales, especialmente en lo que respecta a la protección de datos personales. La Agencia Española de Protección de Datos (en adelante AEPD) ha comenzado a pronunciarse sobre situaciones en las que se incorporan trabajadores a grupos de WhatsApp sin su consentimiento expreso ni una base jurídica adecuada, lo que puede constituir una vulneración del Reglamento General de Protección de Datos (en adelante RGPD).
La resolución PS/00192/2024, dictada por nuestra autoridad de control resuelve un procedimiento sancionador contra una entidad. El caso tiene como eje central el tratamiento indebido del número de teléfono móvil personal de una trabajadora, al ser utilizado para añadirla sin consentimiento a un grupo de WhatsApp laboral.
Así las cosas, la ya extrabajadora interpone una reclamación ante la Agencia. Argumenta que, durante su relación laboral, se le exigió el uso de su teléfono móvil personal para comunicaciones de empresa, ante la supuesta falta de entrega de un terminal corporativo. La trabajadora comunicó por escrito a la empresa que dejaría de usar su teléfono personal para cuestiones laborales, salvo para atender a ciertos clientes ya conocidos.
No obstante, fue incorporada nuevamente a un grupo de WhatsApp laboral denominado “GRUPO.1”, sin su consentimiento ni aviso previo, en su día de descanso. Posteriormente, fue eliminada del mismo tras ser despedida.
Inicialmente, la AEPD inadmitió la reclamación, pero tras recurso de reposición reabrió el procedimiento. El motivo fue que la empresa no acreditó ninguna base de licitud para el tratamiento de los datos personales, y se constató que la reclamante había manifestado claramente su negativa a seguir usando su móvil para fines laborales.
La empresa alegó que el uso de WhatsApp respondía a razones operativas —por la falta ocasional de terminales corporativos—, pero no justificó adecuadamente la excepción ni obtuvo consentimiento expreso.
La AEPD basa su decisión principalmente en la vulneración del artículo 6.1 del RGPD, que exige que todo tratamiento de datos personales sea lícito y se apoye en una de las bases legitimadoras previstas: consentimiento, ejecución contractual, obligación legal, protección de intereses vitales, interés público, o interés legítimo.
En este caso, no concurría ninguna causa de licitud. En particular:
- No existía consentimiento expreso de la trabajadora para utilizar su número personal con fines laborales, especialmente para su inclusión en un grupo de mensajería.
- La falta de terminal corporativo no justifica legalmente el uso de un dispositivo privado.
- La empresa no implementó mecanismos alternativos, ni políticas que pudieran suplir la necesidad de consentimiento.
El uso del número móvil personal sin base legitimadora constituye una vulneración del principio de licitud del tratamiento, recogido también en el artículo 5.1.a del RGPD.
La infracción fue calificada como muy grave, de acuerdo con el artículo 72.1.b de la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (en adelante LOPDGDD), al no concurrir ninguna de las condiciones del artículo 6 del RGPD.
La AEPD también recuerda el principio de responsabilidad proactiva (art. 5.2 RGPD), según el cual el responsable debe demostrar que cumple las obligaciones del RGPD y garantizar el respeto a los derechos de los interesados.
La Agencia Española de Protección de Datos acordó imponer una sanción inicial de 70.000 euros a dicha entidad por la infracción del artículo 6.1 del RGPD. Para determinar la cuantía se valoraron las siguientes circunstancias:
- Gravedad de la infracción: El tratamiento afectó a datos personales (número móvil particular) sin base jurídica.
- Intencionalidad o negligencia: A pesar de que existía un medio alternativo (terminales corporativos), la empresa optó por reutilizar el móvil personal de la reclamante, incluso después de que ella expresara su oposición.
- Tamaño y capacidad económica de la entidad infractora: con un alto volumen de negocio.
- Responsabilidad organizativa: La empresa no implementó un sistema que asegurase el respeto a la privacidad de los trabajadores en canales de mensajería digital.
No obstante, la entidad se acogió a las reducciones ofrecidas por la Agencia, lo que dejó la sanción final en 42.000 euros, terminando así con el procedimiento sancionador.
A pesar del pago de la multa y la aceptación de la responsabilidad, la AEPD no se limitó a la sanción económica. En virtud del artículo 58.2.d) del RGPD, ordenó a la empresa a la adopción de medidas correctoras, entre ellas:
- Acreditar, en el plazo de un mes desde la firmeza de la resolución, la adopción de medidas necesarias para asegurar la licitud de los tratamientos de datos personales, especialmente en relación con grupos de mensajería como WhatsApp.
- Prohibir el uso de terminales personales para fines laborales si no se cuenta con el consentimiento del interesado.
- Formalizar protocolos internos claros que documenten bases legales, medidas de seguridad y criterios de inclusión/exclusión en canales digitales laborales.
Se advierte además que el incumplimiento de esta orden podría dar lugar a una nueva infracción administrativa, conforme a lo dispuesto en los artículos 83.5 y 83.6 del RGPD.
Esta resolución destaca por abordar la confusión entre lo personal y lo profesional en la era digital. WhatsApp no es una herramienta laboral formal, pero su uso ha sido normalizado en muchas organizaciones sin las debidas precauciones.
Esta decisión marca un precedente claro: la gestión de datos en canales no corporativos exige rigor jurídico y consentimiento expreso. Además, se constata que el respeto al marco normativo no solo es obligatorio, sino que protege a ambas partes —empresa y trabajador— frente a conflictos evitables. Puedes consultar otras entradas en nuestro Blog sobre el Uso de Whatsapp personal aquí.
