La Agencia Española de Protección de Datos ha sancionado a una empresa con 1.500 euros por incluir el número personal de una trabajadora en un grupo de WhatsApp profesional.
Sin consentimiento
La empresa lo hacía sin contar con el consentimiento de la afectada, lo que supone una vulneración de su confidencialidad. La empleada de Lismarta, una pyme familiar de servicios de limpieza, presentó su queja ante Protección de Datos, que finalmente ha concluido que la compañía cometió dos infracciones.
Hasta 20 millones
La AEPD considera que añadir número de móvil particulares a grupos de mensajería supone revelar datos de carácter personal, que están protegidos tanto por la Constitución como por el Reglamento General de Protección de Datos (RGPD). En este caso, su alcance fue limitado porque el grupo tan solo constaba de cuatro miembros, pero igualmente recuerda que las infracciones de este tipo del citado reglamento europeo se multan con hasta 20 millones de euros o, en el caso de que se trate de una empresa, el 4% del volumen de negocio total anual, optándose por la que sea de mayor cuantía.
La empleada protestó porque ya había prohibido a la empresa comunicarse con ella por medio de teléfono o WhatsApp, exigiendo que la mensajería se limitase al correo electrónico, y aportó capturas de pantalla de la red social en las que demostraba que la habían incluido en un grupo. En respuesta, la empresa manifiesta que se hizo con fin concreto, el de desarrollar un plan de igualdad, y que se creó grupo para conseguir cumplir los plazos establecidos.
Se produjo una pérdida de control sobre un dato de carácter personal que fue facilitado al resto de integrantes”AGENCIA DE PROTECCIÓN DE DATOS
También se defiende asegurando que la trabajadora no ha ejercitado su derecho de acceso, rectificación, cancelación y oposición a sus datos. Y va más allá, aportando que la empleada había autorizado previamente al tratamiento de sus datos personales. Pero Protección de Datos lo tiene claro tras comprobar que el número incluido en el grupo es el particular de la trabajadora y no uno corporativo aportado por la empresa, al igual que el resto de teléfonos de los demás miembros, así como que el que lo creó es corporativo.
Citando los artículos 5.1 f) y 32 del RGPD, la AEPD explica que aunque la trabajadora nunca antes hubiera hecho uso del derecho de limitación de sus datos personales, como argumenta la empresa, “dicha circunstancia no justificaba que la empresa creara un grupo de WhatsApp y añadiera a dicho grupo el número de teléfono móvil particular de la trabajadora, facilitando dicho dato de carácter personal al resto de integrantes del mismo”. “Se produjo una pérdida de control sobre un dato de carácter personal (el número de teléfono móvil particular), que fue facilitado al resto de integrantes del grupo”.
“La protección de los datos personales es un derecho fundamental”
“La protección de los datos personales es un derecho fundamental de las personas físicas amparado por el artículo 18.4 de la Constitución”, recoge en su escrito el organismo que vela por la garantía de este derecho, insistiendo en que estos no pueden ser tratados a la ligera, independientemente de que la empleada hubiera hecho o no uso del derecho de limitación de sus datos. Asimismo, considera que la empresa no lleva razón al pedir una minoración de la multa puesto que su actividad principal no es el tratamiento de datos personales.
“La normativa reguladora al respecto es de obligado cumplimiento con independencia de que el tratamiento de datos sea la actividad principal de la empresa o no, pues, incluso estas entidades, realizan diversos tratamientos de datos personales de manera habitual para el desarrollo del funcionamiento de la entidad (gestión de nóminas, gestión de recursos humanos, etc.)”.
Aunque después de recibir el acuerdo de inicio de expediente sancionador de la AEPD la empresa trató de adoptar medidas para subsanar los prejuicios causados, enviando un email solicitando a los otros miembros del grupo que eliminen el teléfono de la reclamante, y contratando a una consultora especializada en cumplimiento normativo así como cuatro formaciones sobre este tema, la agencia insiste en que la pérdida de control de los datos personales de la empleada se produjo igualmente, y que ninguna de estas últimas medidas van encaminadas a paliar los daños sufridos por la trabajadora.
Lo mismo sucede con la carta de disculpas enviada, que la empresa utiliza para tratar de que el organismo aminore la multa, algo que se produjo después de conocer la apertura del expediente sancionador. También desestima otras alegaciones de la empresa como que su actividad es la limpieza y no el tratamiento de datos (le recuerda que igualmente debe cumplir la ley) o que no ha obtenido ningún beneficio con la infracción (la APED argumenta que si con este motivo rebajase el importe de la multa, estaría anulando su efecto disuasorio).
Del mismo modo, la empresa alega que trabajadora no respondió a varios correos electrónicos y que eso llevó a crear el grupo, a lo que la Agencia recalca que eso no lo justifica. Pero la ristra de justificaciones de Lismarta no termina ahí: “No se ha visto afectado ningún derecho de ningún menor ni colectivo vulnerable o en riesgo de exclusión”, dice la empresa. “De nuevo, que no haya menores ni personas pertenecientes a un colectivo vulnerable o en riesgo de exclusión afectados por la actuación de la parte reclamada, no implica que se tenga que aplicar la circunstancia del artículo 76.2.f) de la LOPDGDD como una circunstancia que rebaje el importe de la multa a imponer”.
En respuesta a las alegaciones, Protección de Datos es clara recordando la ley. “El artículo 4 apartado 12 del RGPD define, de un modo amplio, la “violación de seguridad de los datos personales” como “toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”. También recuerda que el artículo 5.1.f establece que los datos personales serán “tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»)”.
Fuente: El independiente
Felicitamos al nuevo representante y damos las gracias a tod@s los compañer@s, que con vuestro apoyo habéis hecho posible obtener un nuevo delegado.
