¡Atención usuarios de Whatsapp! Incluir en un grupo a terceros sin consentimiento puede ser sinónimo de infracción LOPD.

Martes, 24 Octubre 2017 10:44
Publicado en Blog
Escrito por  Visto 1247 veces
Valora este artículo
(2 votos)

Todo comenzó con motivo de una cena de navidad, el denunciante a principios de diciembre de 2016 realizó una reserva para cenar en el restaurante denunciado, para un día tan señalada como el 31 de diciembre. Tal y como se describe en los antecedentes de la Resolución AEPD /02302/2017 el restaurante denunciado y días previos a la cena creó un grupo de Whatsapp con la identidad de los asistentes, las mesas donde se iban a sentar cada uno y las personas que le acompañaban. Ante este hecho, el denunciante decidió salir de forma voluntaria del grupo al que había sido incluido. Aunque de nada le sirvió, pues fue incluido nuevamente por el administrador y además recibió un mensaje privado donde le indicaban que si salía del grupo se anularía su reserva. 

Recibida la denuncia la AEPD procedió a la realización de actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, pro todos los intentos de comunicación con el restaurante infractor o sus responsables fueron fallidos. La AEPD siguiendo el procedimiento, acordó someter a trámite de audiencia previa un procedimiento de apercibimiento, tras comprobar que la entidad denunciada no tenía antecedentes de sanciones y apercibimientos precedentes.

¿Qué fundamentos de derecho se dan en el presente supuesto expuesto?

- En primer lugar, se produce una infracción del artículo 6.1 de la LOPD, el cual dispone que: “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.

Por su parte la Audiencia Nacional ha manifestado que es el responsable del tratamiento a quien corresponde asegurarse de que aquel a quien se solicita el consentimiento, efectivamente lo da, y que esa persona que está dando el consentimiento es efectivamente el titular de esos datos personales, debiendo conservar la prueba del cumplimiento de la obligación a disposición de la Administración, encargada de velar por el cumplimiento de la ley.”

La AEPD considera acreditada que la entidad denunciada (titular del restaurante) es el responsable de la creación del grupo de Whatsapp y que no disponía consentimiento del afectado para el tratamiento de datos realizados.

A este respecto el artículo 44.3.b) de la LOPD tipifica como infracción grave tratar los datos de carácter personal sin recabar el consentimiento de las personas afectadas (...).

- En segundo lugar, en cuanto a la determinación de las responsabilidades que se derivan de tal actuación, el artículo 10 de la LOPD dispone que: “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”.

Este deber de confidencialidad es una exigencia elemental que comporta que los datos tratados no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por ley.

Está claro para la Agencia que la entidad denunciada, con la incorporación de un listado con los datos personales de los comensales, permitió el acceso por parte de terceros a datos personales relativos al afectado sin contar con el consentimiento del titular de tales datos, vulnerándose así el deber de secreto.

La vulneración de este deber comporta igualmente una infracción grave (art.44.3 d LOPD).

Nos encontramos por lo tanto ante un supuesto en el que un mismo hecho deriva en dos infracciones, dándose la circunstancia de que la comisión de una implica, necesariamente, la comisión de la otra. Esto es, del tratamiento de datos que supone incorporar datos personales a un grupo de Whatsapp, a su vez, deriva en una vulneración del deber de secreto; y procede subsumir ambas infracciones en una, procediendo imponer únicamente declarar la más grave que, es la prevista para la infracción del artículo 6 de la LOPD tratándose además de la infracción originaria que ha implicado la comisión de la otra.

Por último y en aplicación del artículo 45.6 de la LOPD, la AEPD decidió no acordar la apertura del procedimiento sancionador, y en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes puesto que como hemos indicado al comienzo de nuestro post en la entidad denunciada concurren los dos requisitos básicos para aplicar el apercibimiento, esto es:

a) que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta Ley.
b) Que el infractor no hubiese sido sancionado o apercibido con anterioridad.

Podemos terminar el post a modo de "moraleja" usando las propias palabras de la Agencia: "no crees grupos de Whatsapp de comensales (aplicable a cualquier otro afectado), salvo que cuentes con el consentimiento de los mismos para la finalidad pretendida".

Tamara Morales Martín

Abogada especialista en Nuevas Tecnologías y Protección de Datos.

Directora de PRODAT en Castilla y León

Sitio Web: prodat.es/castilla-y-leon.html
Inicia sesión para enviar comentarios

Modificado por última vez en Martes, 24 Octubre 2017 15:47

Nuestros Servicios

lopd

Protección de Datos

ver más +
Adec. web

Web, Apps, e-commerce

ver más +
compliance

Compliance

ver más +
mantenimiento

Seguridad de la información

ver más +
formacion

Formación

ver más +
play

prodat securityperson

DPD/DPO EXTERNALIZADO PRODAT EXTERNALIZACION DE LA FIGURA DEL DELEGADO DE PROTECIÓN DE DATOS

Prodat pone a su disposición el servicio de “DPO externalizado”. Prodat DPO realiza todas las funciones de obligado cumplimiento en algunas organizaciones públicas y privadas para que puedan concentrase en su negocio , con la tranquilidad de un servicio especializado...

prodatnou

NUEVA PLATAFORMA DE GESTION DE LA PRIVACIDAD PRODAT PRIVACY COREBOS

Como evolución natural de su anterior plataforma software de privacidad , surge para cumplir con las nuevas exigencias del RGPD Europeo
Con tecnología CoreBos y adaptada a las ventajas de los servicios en la nube. Esta herramienta constituye desde hace más de una década el corazón tecnológico de Prodat...

prodat securityformation

FORMACIÓN LA MEJOR HERRAMIENTA DE CUMPLIMIENTO RGPD

La finalidad esencial de la FORMACIÓN RGPD-PRODAT es difundir entre el personal de su organización la puesta en práctica de las reglas y procedimientos necesarios para el cumplimiento de lo establecido por la legislación vigente en materia de protección de datos principalmente adaptado a su sector de actividad...

Delegación  Galicia Delegación  Asturias Delegación Cantabria Delegación Euskadi Delegación Navarra Delegación  La Rioja Delegación Aragon Delegación Cataluña Delegación  Valencia Delegación Alicante Delegación Baleares Delegación Murcia Delegación  Castilla y León Delegación  Madrid Delegación  Castilla la Mancha Delegación  Extremadura Delegación Huelva Delegación  Cádiz Delegación Sevilla Delegación Málaga Delegación de Tenerife Delegación Las Palmas Delegación Portugal