Entradas

Vamos a comentar en este artículo una cuestión de actualidad en las últimas semanas, y es la referente a las resoluciones de la Agencia Española de Protección de Datos en relación a la creación de grupos de WhatsApp.

En concreto nos centraremos en la resolución R/0232/2017, y que es clarificadora de los criterios de la autoridades de protección de datos en esta cuestión.

Antecedentes.

En el mes de diciembre de 2016, se realizó una  reserva para la cena de nochevieja en un restaurante.

Varios días antes de la cena, se creó  un grupo de whatsapp con las personas que participaban en dicha cena. El denunciante salió del grupo pero fue incluido nuevamente por el administrador, recibiendo un mensaje privado, en el que le comunican que si salía del grupo se anulaba la reserva. Asimismo, en el citado grupo se publicó una lista de los asistentes con nombres y apellidos, las mesa donde se sentarían y cuantas personas le acompañarían.

Hechos probados

Queda  acreditado que el restaurante  es responsable de la creación de un grupo de whatsapp con las personas que participaban en la cena de Nochevieja. Asimismo, consta que en el mensaje de whatsapp, se insertó un listado con los datos personales de todos los comensales habían reservado mesa para la cena de esa noche, sin que el denunciante hubiera consentido con anterioridad dicho tratamiento de sus datos personales.

Como consecuencia de todo ello, no hay duda que el restaurante no disponía del consentimiento del afectado para el tratamiento de datos realizados, consistente en la utilización de sus datos en un grupo de whatsapp.

De este suceso, se desprenden varias infracciones que procedemos a detallar.

Se considera infringido el artículo 6.1 de la LOPD por parte del denunciado. El artículo en cuestión dice que “el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”

Debemos recordar que el artículo 44.3.b) de la LOPD considera infracción grave: b) “Tratar los datos de carácter personal sin recabar el consentimiento de las personas afectadas, cuando el mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de desarrollo.”

También hay que reflejar que el restaurante, con la incorporación de un listado con los datos personales de todos los que habían reservado una mesa para la cena del día 31 de diciembre, permitió el acceso por parte de terceros a datos personales relativos al afectado, según el detalle que conste en los hechos probados, cuestión que ha quedado acreditada en el procedimiento sin que el titular de los datos o sus representantes legales hubiesen prestado su consentimiento para ello.

Por tanto, queda acreditado que por parte del restaurante responsable de la custodia de los datos en cuestión, se vulneró el deber de secreto, garantizado en el artículo 10 de la LOPD, al haber posibilitado el acceso no restringido por terceros a datos personales sin contar con el consentimiento del titular de tales datos.

El artículo 10 de la LOPD, dice que “el responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”.

La vulneración del deber de secreto aparece tipificada como infracción grave en el artículo 44.3.d) de la LOPD. En este precepto se establece lo siguiente: d) “La vulneración del deber de guardar secreto acerca del tratamiento de los datos de carácter personal al que se refiere el artículo 10 de la presente Ley”

Resolución sancionadora

La AEPD decidió en este caso no sancionar económicamente al denunciado, sino que optó por la figura del apercibimiento contemplada en  el artículo 45.6 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

La Agencia observa una cualificada disminución de la culpabilidad de la entidad por la concurrencia de varios criterios de los enunciados en el artículo 45.4 de la LOPD, concretamentela no vinculación de la actividad del denunciado con la realización de tratamientos de datos de carácter personal, la ausencia de reincidencia y que no constan perjuicios causados a las personas interesadas o a terceras personas, salvo las que se desprenden de la infracción cometida.