4.000 € de multa por añadir a un grupo de WhatsApp sin consentimiento

Sanción quizás no histórica, pero desde luego llamativa al castigar algo de lo que muchos usuarios de WhatsApp hemos sido culpables sin que supusiera un problema. La Agencia Española de Protección de Datos ha multado con 4.000 € a un club deportivo de Córdoba por agregar a una exsocia a un grupo de WhatsApp sin su consentimiento. Algo que al tratarse de una empresa, como en este caso, tiene unas implicaciones legales diferentes a cuando sucede entre particulares. La razón es la finalidad comercial que tienen las empresas.

Con esa acción, el club deportivo infringió cuatro artículos de la Ley de Protección de Datos, suponiendo cada infracción una multa de 1.000 € que suman los 4.000 € mencionados.

Así se infringen cuatro artículos del RGPD dándole a un botón en WhatsApp

El primer error que cometió el club y que supone una infracción del artículo 5.1e) del RGPD fue no eliminar los datos de la ex socia cuando dejó de tener vinculación con el club, algo a lo que la ley obliga expresamente.

Según explica el juez en la sentencia, el artículo 5.1e) “establece que los datos no podrán conservarse más que el tiempo necesario para la finalidad para la que fueron tomados y en este caso hace 10 años que el reclamante no es el cliente del reclamado”. Este despiste le supone 1.000 euros al club sancionado.

El segundo error fue, obviamente, incluirla en el grupo de WhatsApp sin tener su consentimiento, hecho del que se derivan otras infracciones. Por un lado, al quedar su número de teléfono expuesto a terceros se vulnera la confidencialidad de los datos del denunciante, lo que supone una infracción del artículo 32.1b).

Este señala que el encargado del tratamiento de los datos cedidos deberá poder “garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento”, algo que no ha sucedido en este caso. Otros 1.000 € a sumar a la multa.

La segunda infracción que se deriva de haberla incluido en el grupo de WhatsApp corresponde al artículo 32.1 d), dado que con el hecho denunciado queda claro que las medidas de protección de datos no han sido suficientes, lo que acarrea una nueva sanción de otros 1.000 €.

Por último, todo lo anterior supone una violación del artículo 6 del Reglamento General de Protección de Datos que establece las condiciones de licitud en el tratamiento de los datos personales, y aquí se incluyen la ausencia de consentimiento por parte del afectado además de todo lo anterior.

La ley entiende el consentimiento en su artículo 6.1 como “toda manifestación de voluntad libre, específica, informada e inequívoca por la que este acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen”. Los últimos 1.000 € de la multa.

Siendo elevada la sanción podía haber sido mucho peor, dado que las infracciones del artículo 6 tienen la consideración de “muy graves” y pueden acarrear sanciones de hasta 20 millones de euros o el equivalente al 4% del volumen de negocio anual de la empresa infractora. Si la cuantía ha sido modesta en comparación, es porque el juez ha considerado lo sucedido como una “acción negligente no intencional”. Ni tan mal, visto lo visto.