Nunca crear un grupo de WhatsApp salió tan caro: multa de 4.000 € por agregar sin permiso
  1. Jurídico
El número de teléfono es un dato personal

Nunca crear un grupo de WhatsApp salió tan caro: multa de 4.000 € por agregar sin permiso

Protección de Datos ha impuesto una elevada sanción a un club deportivo que añadió a un exsocio a un chat colectivo sin su autorización, dejando a la vista su contacto

Foto: Un usuario hace uso de WhatsApp. (iStock)
Un usuario hace uso de WhatsApp. (iStock)

La pesadilla empieza con un "Alicia (o quien sea) te añadió" y, acto seguido, un nuevo grupo florece en la ristra de chats de la aplicación WhatsApp. La reacción es cada vez más común. "Buff... ¿otro grupo más?, ¿para qué?", te preguntas con hastío. Y es que, para algunos, cualquier excusa es buena para crear un chat colectivo: viajes, regalos, ser padres o madres del mismo cole, reclutar divorciados para salir de fiesta, montar un equipo de fútbol de cuarentones... Pocos se libran ya de contar en su teléfono con un cúmulo inabarcable de grupos que inunda diariamente su móvil de mensajes intrascendentes, fotografías y vídeos innecesarios, y memes y 'gifs' de lo más variopinto.

Esta saturación, sin embargo, puede tener un antídoto legal, aunque, eso sí, parcial. Al menos, en relación con aquellos grupos que tengan su origen en tiendas, clubes y cualquier otra empresa, entidad o persona física con finalidades profesionales comerciales. Porque la Agencia Española de Protección de Datos (AEPD), en una reciente resolución, ha impuesto una cuantiosa multa a un club deportivo por incluir a un exsocio en un chat colectivo sin recabar su consentimiento. La sanción, que asciende a 4.000 euros, penaliza a la compañía, entre otras cuestiones, por no contar con la autorización del interesado para agregarlo y, al hacerlo, no garantizar la confidencialidad de sus datos.

* Si no ves correctamente el módulo de suscripción, haz clic aquí

Son dos las claves del asunto. La primera es la consideración del número de teléfono móvil como un dato personal. Y la segunda es que el creador del grupo no era "una persona física en el ejercicio de actividades exclusivamente personales o domésticas", sujeto al que no se le aplica el Reglamento europeo de privacidad (RGPD), sino una entidad con fines comerciales. Así, según señala la resolución, el club "ha tratado datos personales del reclamante sin su consentimiento, contraviniendo con ello el artículo 6 del RGPD, y que pese a no ser cliente desde hace más de diez años, aún conservan sus datos personales". La norma tampoco permite mantener dicha información más allá del tiempo "necesario" para la finalidad para la que fueron tomados, requisito que la entidad, por tanto, también vulneró. Todo ello, según determina la AEPD, es constitutivo de cuatro infracciones de mil euros, por lo que ha impuesto al club deportivo la mencionada multa.

¿Puede aplicarse por tanto una sanción similar a quien crea un grupo con sus amigos o familiares de WhatsApp sin recabar su consentimiento? Leandro Núñez, socio del bufete Audens, lo descarta. "Sin conexión alguna con actividad o profesional, la normativa de privacidad no se aplicaría. Es decir, para entendernos: es posible incluir a personas en chats de amigos, compañeros de universidad sin miedo a recibir una multa", aclara. Ahora bien, cuando sí existe ese vínculo comercial, sí se activan las exigencias de la legislación de protección de datos. El problema, agrega Francisco Pérez Bes, socio de Ecix, es la falta de conciencia en materia de protección de datos de muchas pequeñas y medianas empresas o entidades. "Estas actuaciones parecen inocentes, pero pueden provocar un importante disgusto si no se cuenta con el asesoramiento profesional adecuado", remarca.

Foto: El concepto 'emoticono' aparece ya en numerosas sentencias.

Grupos grandes o con desconocidos

Para entender por qué esta conducta supone una infracción de la privacidad, es importante señalar que el Reglamento General de Protección de Datos (RGPD) define dato personal como toda información sobre una persona física "cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador". La normativa pone de ejemplo un nombre, un DNI o la localización, pero no son los únicos elementos. El teléfono entraría también dentro de este paraguas, "especialmente en WhatsApp, donde el número va asociado a otra información, como nombre, apellidos y, en ocasiones, una fotografía, lo que hace posible identificar al titular", explica Eduard Blasi, abogado y profesor de posgrado de protección de datos de la Universitat Oberta de Catalunya (UOC).

Ahora bien, la creación de un grupo sin pedir la autorización de los integrantes no siempre es una conducta ilícita. Como indica el letrado, las leyes de privacidad solo castigan los supuestos en los que se exponen datos personales fuera de la esfera familiar. Así, un grupo de amigos o de familia, a pesar de que se iniciara sin el permiso de los participantes, no vulneraría ninguna norma.

Foto: Foto: EFE.

Ahora bien, Blasi alerta de que hay tres supuestos en los que sí se estaría cometiendo una infracción. Primero, si el grupo está formado por un gran número de personas, a pesar de que entre ellas se conozcan. Segundo, si se añaden miembros desconocidos, incluso si el número de participantes es reducido. Por ejemplo, los vecinos de una comunidad o padres de los niños de una determinada clase que quieren comentar asuntos del colegio. Y, tercero, si el grupo está enmarcado en el ámbito profesional. "Por ejemplo, compañeros de trabajo o equipos", comenta el abogado. En este último caso, se entiende que afecta a la esfera laboral y en ningún caso a la personal.

Para evitar una eventual sanción, el letrado recomienda pedir previamente el consentimiento a los integrantes. "Incluso si es una compañía, debe informar y dar la opción al trabajador de no adherirse, especialmente si no tiene un teléfono de empresa", asevera. Leandro Núñez suma otras dos opciones: en lugar de incluirlo directamente, enviar un enlace de invitación al grupo para que el interesado se una si lo desea, o utilizar la funcionalidad 'lista de difusión' de WhatsApp.

Tirones de oreja desde 2017

No es la primera vez que la Agencia castiga a un particular por crear un grupo sin la autorización de los participantes. La primera resolución en la que la Agencia afeó esta conducta fue dictada en 2017. En esta ocasión, el infractor fue un restaurante mallorquín que, de cara a la cena de Nochevieja, creó un grupo en el que incluyó a todos los comensales de la noche. Además, dio información personal extra acerca de los posibles asistentes, como el número de acompañantes y cuál era su ubicación en la sala. Visto el panorama, uno de los participantes abandonó el grupo por la incomodidad que le generaba que desconocidos tuvieran acceso a su número de teléfono. El administrador volvió a incluirlo con la amenaza de que si se iba de nuevo perdería la reserva.

Foto: Un grupo de personas se divierte en una discoteca. (iStock)

En su dictamen, la AEPD concluyó que el restaurante había infringido dos apartados de la ley de protección de datos. Por un lado, el artículo 6, que obliga a recabar el consentimiento del titular cuando se va a hacer un tratamiento de sus datos personales. Y, por el otro, el artículo 10, que recoge el deber de secreto. Un principio que se vio vulnerado al poner esa información privada a disposición de otras personas. El organismo, no obstante, no fijó ninguna sanción económica y el castigo se limitó a un mero apercibimiento (un aviso) al ser la primera vez que se analizaba un caso de estas características.

Un año más tarde, en 2018, la AEPD volvió a analizar un caso similar. En esta ocasión, el infractor fue el Ayuntamiento de Boecillo (Valladolid) cuando inició un grupo de WhatsApp de 255 personas, todas vecinas del municipio, para compartir en ese espacio todas las novedades del pueblo. Según declaró el consistorio, el grupo fue creado por error, ya que la intención era hacer una lista de difusión. Por eso, lo eliminaron poco después (unas tres horas).

En su resolución, el organismo de protección de datos consideró que el consistorio cometió una infracción grave al exponer los datos personales de 218 vecinos del municipio (los otros 37 dieron su autorización). Además, agregó que se había vulnerado el principio de calidad de los datos, ya que la información se recabó para una lista de difusión, cuando luego la finalidad fue otra. Pero, de nuevo, descartó imponer ninguna multa por la rapidez en la que la administración eliminó a los integrantes una vez se dio cuenta de su error.

Privacidad Ley de protección de datos
El redactor recomienda