En la actualidad es muy común tanto que en las empresas los trabajadores a la hora de prestar sus servicios puedan, o tengan permitido utilizar dispositivos personales para realizar sus funciones laborales, así como que la entidad realice tratamientos de datos de carácter personal de estos para que puedan prestar sus servicios en dicha entidad. No obstante, el hecho de que esto sea común no significa que no tenga que cumplir una serie de premisas para que se realice de una manera legal y cumpliendo con la normativa de referencia en materia de protección de datos, en este caso;
- Reglamento (UE) 2016/679 de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).
- Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Para analizar que obligaciones legales han de cumplir las entidades si quieren realizar las acciones indicadas procederemos a analizar una resolución sancionadora de la Agencia Española de Protección de Datos (AEPD) al respecto, PS-00446-2023:
El procedimiento se inicia cuando un trabajador (en adelante, el reclamante) de la entidad reclamada (en adelante, el reclamado) interpone una denuncia ante la AEPD, en la cual alega los siguientes motivos:
En primer lugar, el reclamante manifiesta que la empresa para la que prestó sus servicios le obligaba a usar para el trabajo su teléfono móvil personal, teniendo que instalarse una aplicación (plataforma de tarjetas monedero de empresa, en la que tenía que entrar diariamente para hacer transferencias y para contabilizar los gastos, requiriendo para el acceso de un teléfono para enviar el código de verificación) para acceder a una web de Irlanda.
En segundo lugar, el reclamante indica que la empresa compartió su número de móvil personal con otros empleados sin su consentimiento.
Además, tras notificar el reclamante la situación la respuesta de la empresa reclamada fue que no le iban a dar un móvil de empresa. A mayor abundamiento, manifiesta el reclamante que, aunque ya no trabaja en la empresa, su teléfono personal fue incluido en dos grupos de WhatsApp, siendo contactado por antiguos compañeros, apareciendo en dichos grupos como ex miembro, con su número de teléfono y nombre, negándose la empresa a borrar tales grupos y manteniendo la obligación a sus empleados a usar sus teléfonos personales para trabajar.
La AEPD de acuerdo con el artículo 65 de la LOPDGDD, procede a admitir a trámite la reclamación presentada por la parte reclamante.
A posteriori, el reclamado ha manifestado que solicitó a la empresa que se le diera de baja en el grupo de WhatsApp y las aplicaciones que se utilizarán; que al día siguiente se le comunicó que se había procedido a dar de baja sus datos de acuerdo con lo solicitado. También se le comunico que la empresa reclamada realizo un análisis de riesgos sobre el tratamiento de datos de carácter personal, había redactado un protocolo de las medidas de seguridad técnicas y organizativas implementadas para cumplir con la normativa de protección de datos y había redactado un documento de política de seguridad para informar a los trabajadores de sus derechos y obligaciones respecto del tratamiento de datos de carácter personal. Asimismo, se comunicó que hasta la fecha se creaban grupos de WhatsApp para agilizar el día a día de la empresa solicitando solo el consentimiento verbal y que desde el 3/05/2023 se solicita consentimiento por escrito a todos los trabajadores.
Los hechos denunciados se materializan en la inclusión en grupos de whatsapp sin base de legitimación, lo que podría vulnerar la normativa en materia de protección de datos de carácter personal, atendiendo a los siguientes preceptos:
- El artículo 5 RGPD, establece los principios del tratamiento:
“1. Los datos personales serán: a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»); ….”
- El artículo 6.1 del RGPD, establece los supuestos que permiten considerar lícito el tratamiento de datos personales:
“1. El tratamiento sólo será lícito si cumple al menos una de las siguientes condiciones: a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos; b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales; c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento; d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física. e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento; f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.”
- El considerando 40 del RGPD dispone que;
«Para que el tratamiento sea lícito, los datos personales deben ser tratados con el consentimiento del interesado o sobre alguna otra base legítima establecida conforme a Derecho, ya sea en el presente Reglamento o en virtud de otro Derecho de la Unión o de los Estados miembros a que se refiera el presente Reglamento, incluida la necesidad de cumplir la obligación legal aplicable al responsable del tratamiento o a la necesidad de ejecutar un contrato con el que sea parte el interesado o con objeto de tomar medidas a instancia del interesado con anterioridad a la conclusión de un contrato.»
Por tanto, se considera por parte de la AEPD que la conducta del reclamado vulnera el principio de licitud consagrado en el artículo 6.1 del RGPD, tipificada en el artículo 83.5 a) del RGPD, esto es así puesto que como hemos referenciado en los anteriores párrafos, para realizar un tratamiento de datos de carácter personal, la entidad debería de haber contado con una base legitimadora, en este caso el consentimiento de los trabajadores para incluirles en el grupo de whatssap empresarial.
¿Pero, como ha de ser este consentimiento?
El reclamado alega que se ha solicitado el consentimiento de manera “verbal”, lo cual no es valido a ojos de la normativa de protección de datos, puesto que si atendemos a lo indicado en el art. 4 RGPD:
11) «consentimiento del interesado»: toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”.
Como se desprende del artículo referenciado, la entidad reclamada debería de haber contado con un consentimiento expreso, que consista en una clara acción afirmativa, motivo por el cual el hecho de solicitarlo de manera verbal no es válido, puesto que el consentimiento tácito desapareció con la entrada en vigor del RGPD en mayo del 2018.
Por lo tanto, de acuerdo con los preceptos transcritos, y sin perjuicio de lo que resulte de la instrucción del procedimiento, a efectos de fijar el importe de la sanción de multa por parte de la AEPD a imponer por la infracción del artículo 6.1 del RGPD, tipificada en el artículo 83.5.a) del RGPD de la que se responsabiliza al reclamado, en una valoración inicial, se considera adecuado establecer una sanción de 2.000 € (dos mil euros). En el caso de que el reclamado realizase el pago voluntario y reconocimiento de la responsabilidad esto supondría un 20% (por cada una) de la sanción final, quedándose esta en 1.600 o 1.200 €.
Para terminar el presente artículo, no queremos perder la oportunidad de dar una serie de recomendaciones a la hora de utilizar grupos de WhatsApp con trabajadores:
- En primer lugar, como hemos comprobado, es necesario solicitar el consentimiento de los empleados por escrito para incluirles en dichos grupos de WhatsApp.
- Si es posible que el número de teléfono que se incluya en el grupo de WhatsApp sea un teléfono de empresa.
- Podemos utilizar listas de difusión en vez de grupos de WhatsApp, de esta manera otros miembros no visualizaran datos de carácter personal de otros compañeros.
Finalmente, en el caso de los centros escolares, en el caso de grupos de WhatsApp entre profesores y alumnos/padres de alumnos, hemos de dar otra serie de recomendaciones:
- Como Regla general la AEPD en su guía de centros escolares no recomienda el uso de aplicaciones de mensajería instantánea (como WhatsApp) entre profesores y padres o entre profesores y alumnos. Pudiéndose utilizar estos en casos excepcionales como:
- Situaciones en las que prevalezca el interés superior del menor, como accidentes, etc.
- Situaciones concretas y excepcionales, creado para una actividad concreta, grupo que se eliminara cuando finalice dicha actividad.
- No se recomienda difundir imágenes en estos grupos de WhatsApp, salvo que como hemos indicado prevalezca el interés superior del menor.
Por lo tanto, como hemos visto a lo largo del artículo, si quieres evitar sanciones en tu entidad has de contar con el cumplimiento de las premisas indicadas, sobre todo el consentimiento por escrito del interesado para formar parte de dicho grupo de WhatsApp, así como también es muy importante eliminar a este participante si así nos lo solicita.
Si quieres conocer mas sobre el tema puedes leer otras entradas de nuestro blog al respecto pinchando aquí.
