Como ya sucediera anteriormente con un ayuntamiento y un restaurante, la AEPD ha vuelto a multar por incluir a una persona (la reclamante) en un grupo de WhatsApp de una entidad sin su consentimiento, en este caso a un club deportivo (PS/00260/2021), además en este caso no solo sanciona al club deportivo con mil euros (1.000.00€) por no obtener el consentimiento para incluir a la reclamante en el grupo, infringiendo así el artículo 6 GDPR (1.000,00€), sino que además sanciona con otros:
- 1.000,00€ por conservar los datos de la reclamante más tiempo de necesario, que no era socia de la entidad desde hace 10 años, infringiendo así el artículo 5.1e) GDPR.
- 1.000,00€ por exponer el número de teléfono de la reclamante a terceros, vulnerando la confidencialidad de los datos e infringiendo el artículo 32.1.b) GDPR.
- 1.000,00€ por no verificar la eficacia de las medidas de seguridad, infringiendo el artículo 32.1.d) GDPR
En definitiva 4.000,00€ por incluir miembros en un grupo de WhatsApp de una organización sin consentimiento de los mismos. Siendo elevada la sanción podía haber sido mucho peor, dado que las infracciones del artículo 6 tienen la consideración de “muy graves” y pueden acarrear sanciones de hasta 20 millones de euros o el equivalente al 4% del volumen de negocio anual de la empresa infractora. Si la cuantía ha sido graduada, es porque la AEPD ha considerado lo sucedido como una “acción negligente no intencional”.
Por esto, como ya recomendábamos en pasadas comunicaciones referentes a la utilización de estas aplicaciones de mensajería instantánea, y en lo concerniente a la creación de grupos por parte de entidades (empresas, autónomos y organizaciones) debemos tener en cuenta entre otras cuestiones:
- Se debe utilizar la versión profesional (en el caso de WhatsApp, Business)
- Tanto si la entidad (responsable del tratamiento) crea un grupo para comunicaciones internas entre el personal (cambios de turno, horarios, etc.), como si lo hace con cualquier otra persona (clientes, afiliados, alumnos, asociados, etc.), esta debe facilitar toda la información del tratamiento al interesado y este debe poder aceptar o rechazar ser incluido en dicho grupo libremente, sobre todo si se trata de sus teléfonos particulares. Además de poder revocar este consentimiento y ejercer sus derechos en cualquier momento.