Si eres empresari@ o actúas en representación de un empresari@ o empresa y creas un grupo de WhatsApp con clientes, cuida “muy mucho” lo que publicas… Y, si tú eres el cliente, no olvides que, por mucho que WhatsApp sea “informal”, tienes derecho a que se respeten tus derechos y mecanismos para hacerlos respetar...
Dejando de lado otro tipo de responsabilidades que se pudieran generar en función del tipo de publicación que se haga, nos vamos a centrar en el tema de la protección de datos de carácter personal, para lo cual vamos a hacer referencia a una reciente Resolución de la Agencia Española de Protección de Datos (en lo sucesivo, AEPD), de 11.9.2017.
¿Qué paso?
Una persona, que vamos a llamar P, hizo una reserva en un restaurante para la cena de Nochevieja.
Posteriormente, P se encuentra con que le han metido en un grupo de WhatsApp.
¡¿Quién?! ¡¿Qué?!
Pues ni más ni menos que el responsable del restaurante, que no se le ocurrió otra cosa que crear un grupo de WhatsApp con las personas irían en Nochevieja a cenar, enviando, para colmo, un listado con el nombre y apellidos de todas las personas que reservaron para ir a cenar esa noche, el número de personas que les acompañarían y un plano del restaurante con la ubicación de la mesa que le tocaba a cada cual.
P se salió del grupo y el responsable del restaurante creyó que era buena idea volverlo a meter, y así lo hizo, le volvió a incluir en el grupo de WhatsApp y, además, le envió un mensaje privado advirtiéndole de que, si salía del grupo, se anularía su reserva.
Ante esta situación, P envió un escrito a la AEPD para contarle lo que le había pasado. Por su lado, la AEPD intentó ponerse en contacto con el restaurante pero, por lo que resulta de la Resolución que estamos comentando, le dieron largas, así que, al final, instruyó el procedimiento y dictó la Resolución.
¿Qué incumplimientos e infracciones ha cometido el restaurante, según la AEPD?
1) No disponer del consentimiento de P para tratar su datos personales
El responsable del restaurante creó un grupo de WhatsApp con las personas que participaban en la cena de Nochevieja entre los que se encontraba P y, sin su consentimiento, comunicó sus datos personales a los demás integrantes del grupo, al insertar en dicho grupo un listado con los datos personales de todos los que habían reservado mesa para la cena de esa noche.
En este sentido, el artículo 6 de la Ley Orgánica de Protección de Datos (en lo sucesivo, LOPD) dice que...
el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa
Para no aburrir poniendo excepciones, ya os decimos que no, que no hay ninguna disposición en la ley que, en un supuesto como el que estamos tratando, exima del deber de obtener el consentimiento del afectado para tratar sus datos personales.
Así, la AEPD considera que el restaurante ha vulnerado el principio del consentimiento, lo que constituye una infracción grave prevista en el artículo 44.3.b) de la LOPD:
tratar datos personales sin consentimiento del afectado, cuando ese consentimiento es necesario, constituye una infracción grave
2) Revelar datos de carácter personal vulnerando el deber de secreto
Y ello porque insertó en el grupo de WhatsApp el listado con los datos personales de todos los que habían hecho la reserva para la cena de Nochevieja, y, entre esos datos, estaban los de P.
Respecto a esta cuestión, el artículo 10 de la LOPD regula el deber de secreto al decir que...
el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo
De este modo, la AEPD entiende que el restaurante vulneró el deber de secreto, al haber divulgado a terceros no interesados los datos personales de P, sin contar con su consentimiento, lo que constituye una infracción grave.
¿Qué resuelve la AEPD?
La AEPD sostiene que un mismo hecho ha dado lugar a las dos infracciones: la inserción de datos personales en un grupo de WhatsApp, sin consentimiento de P, dio lugar, a su vez, a una vulneración del deber de secreto, por lo que únicamente declara la infracción más grave, la de ausencia de consentimiento para tratar datos de carácter personal.
Por otro lado, atendidas las circunstancias del caso, entre las que se incluye que el restaurante no había sido sancionado ni apercibido antes, la AEPD, haciendo uso del cauce excepcional del artículo 45.6 de la LOPD, en lugar de sancionar al restaurante le apercibió. En concreto, la AEPD, en la Resolución de la que estamos hablando:
- Apercibe al restaurante.
- Le insta para que no vuelva a crear grupos de WhatsApp de comensales, salvo que cuente con el consentimiento de los mismos para la finalidad de ubicarles en sus mesas.
- Le requiere para que aporte un escrito en el que se declare expresamente que solo tratará los datos de las personas que reservan mesa en su restaurante, incluyéndolos en grupos de WhatsApp, si cuenta con su consentimiento en el sentido indicado.
Hay que tener en cuenta, no obstante, que si, por ejemplo, el restaurante ya hubiera sido apercibido o sancionado con anterioridad, se le habría impuesto una multa de 40.001 a 300.000 euros, y ello porque, según el artículo 45.2 de la LOPD…
las infracciones graves serán sancionadas con multa de 40.001 a 300.000 euros
Conclusión
Mira que estamos “todos” pesados con el tema de la protección de datos. Que sí, que ya lo sabemos, que a simple vista pueden haber personas a las que le parezca una cuestión sin importancia, pero... no lo es:
- Primero, porque cada cual tiene derecho a mantener su privacidad y su intimidad, y otro no puede venir así por las buenas a airear datos personales nuestros. Nosotros somos los propietarios de nuestros datos y decidimos a quienes se los facilitamos sin que, aquella persona a la que se los hayamos comunicado tenga el derecho a utilizarlos a su libre albedrío (eso de que “ancha es Castilla”, aquí, no vale 👎); y
- Segundo, porque existe una regulación que tiene que cumplir y, quien no la cumpla, se enfrenta a sanciones, sanciones que, por otra parte, pueden suponer un grave problema económico a quien las padezca, sobretodo cuando sea de aplicación el Reglamento General de Protección de Datos, que complica más el cumplimiento de la norma y recrudece el tema de las sanciones cara miedo (sobre esto, podéis echar un vistazo al artículo Datos personales: nuevos retos para pequeñas empresas).
Por eso, porque cuesta menos cumplir que soportar las posibles consecuencias, aunque sea pesado y suponga un esfuerzo (o un gran esfuerzo),
ten presente el tema de la protección de datos en la gestión de tu negocio o empresa
