¿Infrinjo el RGPD si incluyo a alguien sin su permiso?
En muchas ocasiones hemos recibido consultas sobre la posibilidad del uso de Whatsapp y si afecta a la Protección de Datos en las empresas, crear grupos de WhatsApp con clientes o empleados. Este tipo de servicios de mensajería resultan muy útiles para comunicarnos con personas a las que queremos transmitir un mensaje economizando tiempo. Necesidades que se agudizan en el ámbito empresarial, en el que la eficiencia es un valor añadido.
Una compañía decide crear un grupo de WhatsApp en el que se incluir a todos sus trabajadores:
- para organizar horarios de trabajo o,
- dar determinadas instrucciones,
- o para la celebración de un evento,
- y publicar las últimas noticias.
La empresa organizadora de crear un grupo con todos los asistentes debe tener en cuenta si Whatsapp cumple con la Protección de Datos.
Estas cuestiones no se reducen únicamente al ámbito empresarial. Puede ocurrir que, un centro educativo se proponga la creación de un grupo de WhatsApp para los padres de sus alumnos, o que un Ayuntamiento haga lo propio con sus empleados o incluso con los vecinos del municipio.
En primer lugar, debemos tener claro que un número de teléfono es un dato personal, pues constituye información suficiente para identificar o hacer identificable a una persona física.
¿Vulnero la normativa en Protección de Datos con alguna de las prácticas anteriores?
En todos estos supuestos respondemos que, si bien no está prohibido, al incluir a alguien en un grupo de WhatsApp podrías infringir la normativa en protección de datos. Siempre se ha de solicitar previamente el consentimiento.
La Agencia Española de Protección de Datos se ha pronunciado sancionando a responsables del tratamiento que no cumplieron con este requisito. En el procedimiento PS/00260/2021 se sanciona a un club deportivo por varias infracciones del Reglamento General de Protección de Datos (RGPD), entre ellas la de no haber solicitado el consentimiento previo a los socios para incluirlos en un grupo de WhatsApp. En esta misma resolución recuerda la Agencia que las infracciones de los principios básicos para el tratamiento, incluidas las condiciones para el consentimiento, “se consideran muy graves y prescribirán a los tres años”.
Las multas pueden variar dependiendo de diversos factores como la naturaleza de la infracción, duración o gravedad. El RGPD contempla máximos de 20 millones de euros para multas administrativas, o de una cuantía equivalente al 4% como del volumen de negocio total anual global del ejercicio financiero anterior.
¿Qué dice la normativa?
De acuerdo con el artículo 4.11 RGPD el consentimiento es “toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”. Expliquemos sus principales características:
- Libre. Es decir, no sujeto a condiciones. Por ejemplo, no podemos supeditar premios o bonificaciones de la empresa a que nuestros trabajadores se unan al grupo de WhatsApp de la compañía.
- Específico. Imaginemos que un cliente nos permite enviarle publicidad. Pues bien, debemos entender que consiente únicamente para esto. No supondremos que, como ya consintió una vez, también lo hará para ser incluido en un grupo de WhatsApp.
- Informado. El interesado debe conocer cuál es la finalidad de dar su consentimiento. Se debe informar que su número de teléfono se incluirá en un grupo de WhatsApp y será público para el resto de miembros del grupo.
- Inequívoco. Debemos informar al interesado de manera clara y sin ambigüedad.
Además, tendrá carácter previo. Esto es, se solicitará antes de incluir el número de teléfono en el grupo, y no una vez se ha realizado dicha inclusión.
El interesado podrá retirar el permiso en cualquier momento (especial atención con volver a incluir a una persona que decide “salirse” del grupo).
Tampoco podremos aceptar un consentimiento presunto, es decir, aceptar el silencio o el no rechazo como acción o manifestación afirmativa.
¿Qué se puede hacer?
Si está permitido el uso de Whatsapp en las empresas cumpliendo con la normativa de Protección de Datos.
En LVS², mediante nuestro servicio de Externalización del Delegado de Protección de Datos, asesoramos a nuestros clientes, preparando formularios de recogida de consentimiento, facilitando el trabajo de nuestros clientes, asegurando el cumplimiento de la normativa y protegiendo el derecho fundamental de las personas físicas a la protección de sus derechos personales.