En la actualidad cada vez es más común que las entidades creen grupos de WhatsApp como canal de comunicación interno entre distintos miembros de la empresa. No obstante, el hecho de que sea una práctica común no implica que se haga correctamente, de hecho, hay muchas veces que se incumple la normativa en materia de protección de datos que es de aplicación;
Precisamente, de lo indicado se trata la resolución de la AEPD que vamos a analizar en el presente artículo, PS-00550-2023;
Se inicia por la reclamación de varios miembros de un grupo de WhatsApp de un sindicato del que forman parte. Alegan que cuando se procedió al inicio de la constitución del sindicato en su empresa, y cuando la empresa entregó el censo electoral al representante sindical, éste lo compartió a través de un grupo de WhatsApp que tiene con afiliados de su sección sindical, sin previa autorización.
Los reclamantes aportan fotografía del grupo de WhatsApp donde se puede observar que los datos que figuran son:
- nombre y apellidos
- fecha de nacimiento
- DNI
- Antigüedad en la empresa
Conociendo esta información, la AEPD procede a realizar las investigaciones pertinentes, determinando de inicio que el sindicado realiza esta actividad en su condición de responsable del tratamiento, dado que es quien determina los fines y medios de tal actividad, en virtud del artículo 4.7 del RGPD.
Además, la AEPD considera acreditado un incidente de seguridad de datos personales, categorizado como una brecha de confidencialidad (Art. 12.4 RGPD), al haberse difundido el censo electoral de la empresa en la que trabajan las partes reclamantes, en un grupo de WhatsApp de la sección sindical del sindicato en la misma.
A la hora de categorizar el incumplimiento normativo por parte del sindicado por los hechos referenciados, la AEPD refuerza su posición por un lado con el principio de integridad y confidencialidad, recogido en el artículo 5.1.f. RGPD;
“1. Los datos personales serán: (…) f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).”
En el caso que exponemos en el presente artículo fueron indebidamente expuestos a un tercero, al haberse difundido en un grupo de WhatsApp una copia del censo electoral, en el que constaba nombre y apellidos, DNI y fecha de nacimiento de todos los integrantes del censo electoral de la empresa, entre los que se encontraban los datos personales de las partes reclamantes. La AEPD considera que los hechos conocidos podrían ser constitutivos de una infracción, imputable al sindicato, por vulneración del artículo 5.1.f) del RGPD.
A mayor abundamiento, la AEPD en sus fundamentos de derecho considera como agravantes las siguientes circunstancias:
La naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate, así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido (apartado a): por el acceso indebido de los datos personales de todo el censo electoral de la empresa, entre los que se encontraban los datos personales de las partes reclamantes, (nombre y apellidos, fecha de nacimiento, DNI) al haber sido compartidos a través de un grupo de WhatsApp.
Por otro lado, la AEPD también considera incumplido el Artículo 32 “Seguridad del tratamiento” del RGPD establece:
“1. Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros: a) la seudonimización y el cifrado de datos personales; b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico; d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. 2. Al evaluar la adecuación del nivel de seguridad se tendrán particularmente en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. 3. La adhesión a un código de conducta aprobado a tenor del artículo 40 o a un mecanismo de certificación aprobado a tenor del artículo 42 podrá servir de elemento para demostrar el cumplimiento de los requisitos establecidos en el apartado 1 del presente artículo. 4. El responsable y el encargado del tratamiento tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solo pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros”.
De lo probado se estima por la AEPD que la parte reclamada no contaba con las medidas de seguridad apropiadas para evitar la difusión del censo electoral de la empresa donde constaban los datos personales de, entre otros, las personas reclamantes, en la medida en que se ha compartido el censo electoral de la empresa a través de un grupo de WhatsApp del sindicato.
Por lo tanto, en base a lo expuesto, la autoridad de control considera que la parte reclamada está incumpliendo los preceptos mencionados y se le sanciona con la siguiente cantidad por cada uno:
- Infracción del artículo 5.1.f) del RGPD, tipificada en el artículo 83.5 de dicha norma, multa administrativa de cuantía 3.000 euros.
- Infracción del artículo 32 del RGPD, tipificada en el artículo 83.4 de dicha norma, multa administrativa de cuantía 2.000 euros
Finalmente, la parte reclamada procedió al pago de la sanción en la cuantía de 3.000 euros haciendo uso de las dos reducciones previstas en el Acuerdo (pago voluntario y reconocimiento de la responsabilidad), lo que implica el reconocimiento de la responsabilidad.
Para terminar nuestra entrada del blog queremos aprovechar lo expuesto en el presente artículo para daros unos consejos a la hora de utilizar grupos de WhatsApp a nivel empresarial como canal de comunicación:
- El tratamiento de datos ha de ser lícito, esto podemos conseguirlo solicitando el consentimiento explícito de los interesados (miembros del grupo) previamente a su inclusión en el grupo.
- Es recomendable que el teléfono del administrador del grupo sea propiedad de la empresa responsable del tratamiento, la cual deberá haber implementado las medidas técnicas y organizativas necesarias para garantizar la seguridad y confidencialidad de los datos.
- Cumplir con el principio de información, los interesados han de estar informados del tratamiento de sus datos en todo momento.
- Este grupo ha de ser solamente informativo, es decir, para transmitir información general y no para realizar comunicaciones individuales, las cuales han de hacerse por privado.
- No usar WhatsApp para compartir datos personales o información confidencial entre la empresa y los miembros del grupo, puesto que el control de estos dependerá de la política de privacidad en WhatsApp, quedando así fuera de las manos de la empresa.
No olvides que el consentimiento siempre es revocable (Art. 7.3 RGPD), por lo que un miembro del grupo que ha prestado su consentimiento para formar parte de él puede revocar este consentimiento en cualquier momento y ha de ser eliminado de dicho grupo. Además, siempre como en todo tratamiento de datos de carácter personal los derechos de los interesados han de ser atendidos por parte del responsable del tratamiento.
En definitiva, como indicábamos al inicio de esta entrada, los grupos de WhatsApp son muy comunes y facilitan la comunicación en nuestra entidad, pero esto no puede hacer que olvidemos que han de cumplir con la normativa de protección de datos, puesto que como hemos visto esto puede implicar sanciones económicas para nuestra entidad.
Puedes consultar mas información al respecto en otras entradas de nuestro blog, pinchando aquí y aquí. También pueden resultarte interesantes una serie de consejos de la AEPD para reforzar la privacidad del WhatsApp.