¡Comparte en redes sociales!

Grupos de WhatsApp y sus consecuencias

A la luz de la AEPD

Desde hace más de 10 años, el grupo de mensajería instantánea WhatsApp se ha instalado en todos los recovecos de nuestra vida como premisa sine qua non para poder relacionarnos con los demás. Y no sólo con nuestros familiares y amigos, sino como medio catalizador para administraciones públicas y empresas que lo incluyen en sus servicios como una ventaja competitiva en aras de atender al cliente/ciudadano de manera inmediata.   

Millones de personas exponen sus datos personales (fotos, nombre y apellidos, núm. DNI, geolocalización, vídeos, estados de WhatsApp…) sin conocer realmente las consecuencias que ello supone, quienes pueden acceder a sus datos y cómo se deben de establecer los límites. Analicemos pues a continuación, varios aspectos importantes desde el prisma de la protección de datos: 

¿El sólo consentimiento es suficiente para que me puedan incluir en un grupo de WhatsApp?

Para analizar las cuestiones que ahora devienen, primero es importante aclarar que nuestro número de teléfono es un dato personal que nos identifica de manera unívoca e inequívoca y, por ello, también merece ser digno de protección jurídica.

La Agencia Española de Protección de Datos[1] en varias ocasiones ha manifestado que el sólo consentimiento no es suficiente para que nos puedan incluir en un grupo de WhatsApp si no hemos prestado éste de manera explícita para tal fin.

Veamos un ejemplo donde la AEPD impone una sanción[2] de 4.000€ a un club deportivo cordobés por vulnerar hasta cuatro artículos del Reglamento General de Protección de Datos[3] “al haber tratado datos personales de la reclamante sin su consentimiento”. En concreto, consideró que el Club Deportivo Sansueña infringió el artículo 6 (relativo a la licitud del tratamiento), el 5.1.e (vulneración del principio de limitación del plazo de conservación) el 32.1 b) y 32.1 d) (relativo a la seguridad del tratamiento) del RGPD: en primer lugar, por no haber solicitado el consentimiento expreso de la exsocia. También, por haber guardado los datos personales de la ex clienta durante ese tiempo sin que fuese necesario hacerlo. Y por último, por no haber garantizado que esa información se haya mantenido de forma segura durante esos años en las que las partes no tenían ningún tipo de relación desde hacía más de diez años.

Los ayuntamientos y el uso de WhatsApp como canal de participación ciudadana

En el caso anteriormente expuesto, hablamos de una empresa privada. Pero, ¿Qué ocurre si una administración pública, como un ayuntamiento crea un grupo de WhatsApp como canal de participación ciudadana?

Como ya hemos comentado, los grupos de WhatsApp manejados sin las autorizaciones pertinentes por cada integrante (administradores y usuarios), pueden llegar a ser un verdadero peligro para nuestra privacidad: así se desprende de la resolución 03041/2017 de  la AEPD ; en la cual amonesta al Ayuntamiento de Boecillo[4] (del sur de Valladolid y con apenas 4100 habitantes) por crear un grupo de WhatsApp en el que un concejal del consistorio incluyó a 255 personas para informarles de posibles temas de interés del municipio[5] sin “consentimiento ni autorización para dicho tratamiento”.

Pero en el caso que se expone a continuación, el Ayuntamiento de Tiana, a pesar de contar con el consentimiento explícito de cada uno de los componentes del grupo de WhatsApp y de informarles cómo serían tratados sus datos personales, es sancionado por la Autoridad Catalana de Protección de Datos[6] al no tener en cuenta el art. 25 del RGPD. En concreto, por no tener en cuenta y vulnerar el principio de protección de datos desde el diseño, y alude además a otro aspecto importante: la distinción entre “grupo” y “lista de distribución”, siendo ambas funciones de WhatsApp similares entre sí sin llegar a ser lo mismo.

Pongámonos en antecedentes: en julio de 2021, los responsables del consistorio tianence crearon el grupo de WhatsApp denominado ‘Noticias Tiana’ con el objetivo de comunicar a sus ciudadanos información institucional y de interés general para el pueblo (llegado a tener este canal de “comunicación oficial”  hasta 257 personas) En lo que atañe a la protección de datos, el ayuntamiento cumplía en parte con lo previsto en el artículo 13.1.c del RGPD (información por capas) y sólo informaba a los usuarios a través de un mensaje que contenía el enlace para unirse al grupo; indicando la identidad del responsable del tratamiento, la base jurídica, la finalidad del tratamiento, el plazo de conservación de los datos, la posibilidad de ejercer los derechos ARCO-LIPO[7] a través de un enlace que redirigía a la sede electrónica[8] del Ayuntamiento, y las vías de contacto con el delegado de protección de datos. Sin embargo, no recogía de manera explícita el derecho a presentar una reclamación ante la APDCAT.

El principal error que cometió la entidad municipal fue “no implantar medidas técnicas y organizativas adecuadas para aplicar de forma efectiva el principio de confidencialidad. En concreto, no se garantizaba que las personas que se unieron al grupo de WhatsApp creado por el Ayuntamiento, no pudieran acceder al número de móvil, foto de perfil y nombre de usuario del resto de miembros” según se recoge en la misma resolución del procedimiento sancionador[9].

Pese a ello, la entidad municipal aseguró a la APDCAT que a pesar de era consciente de que creó un grupo de WhatsApp sin tener en cuenta la meritada medida de seguridad para evitar que los datos de las personas que participaran fueran accesibles para el resto de los participantes, entendía que quienes se uniesen a éste asumían de manera directa como usuarios tales consecuencias. Es decir, el ayuntamiento no hubiera incumplido la normativa en protección de datos si hubiera optado por la lista de distribución en lugar del grupo de WhatsApp; ya que en la lista de distribución la comunicación se produce de manera unidireccional, siendo los administradores los únicos que pueden enviar mensajes y quienes tienen un verdadero control en la seguridad de la información que se publica. Gracias a ello, “las personas incluidas en la lista de difusión desconocen quiénes son los otros integrantes de la lista y, por tanto, no pueden acceder a los datos del resto”, no siendo idónea la funcionalidad de los grupos para los fines de tales asuntos.

Finalmente, se condena al ayuntamiento por una infracción prevista en el artículo 83.5.b) en relación con el artículo 13; y otra infracción prevista en el artículo 83.4.a) en relación con el artículo 25.1 del RGPD

¿Qué ocurre con los grupos de WhatsApp de familiares y amigos? ¿Y los del colegio y los de las empresas?

Lo comentado anteriormente no opera para grupos de WhatsApp de familiares o amigos; ya que como comenta el propio RGPD las actividades domésticas o privadas quedan fuera de su ámbito de aplicación.

En lo que atañe a los grupos de WhatsApp de padres/madres del colegio tampoco es de aplicación la normativa en protección de datos. Ello no empece, que sea necesario siempre el consentimiento de cada usuario para que lo incluyan en el grupo. Es recomendable que desde el primer momento se pongan límites en su contenido y establecer el fin del mismo.

Cuestión distinta es, si es el propio colegio como institución de enseñanza es quien decide crear motu proprio el grupo de WhatsApp. En ese caso, como ya se ha señalado en el párrafo anterior, es preceptivo el consentimiento de manera expresa, específica e informada (de manera previa) para meter a los progenitores y/o representantes legales en el grupo.  En caso de que no se realice de esa manera, se puede denunciar ante la AEPD.

En cuanto al uso del WhatsApp en el ámbito empresarial, se aconseja usar WhatsApp Business; ya que permite integrar diferentes funciones, entre las que se destacaría la función que permite la obtención del consentimiento del usuario, antes de empezar a comunicarse con el mismo. Ello, serviría como medio de prueba para acreditar que la empresa de manera previa ha solicitado de forma expresa el consentimiento de este cumpliendo así con el principio de accountability o con el principio de transparencia.

Por tanto, de acuerdo con todo lo expuesto anteriormente, es fundamental, tener en cuenta el carácter poliédrico de la protección de datos. Analizar todas sus caras y su transversalidad en la aplicación práctica de estos. Quedarse en la “superficie” con el deber de informar por capas no basta, hay que saber mirar más allá y anticiparte ante posibles hechos futuros que supongan un riesgo y por ende un peligro que amenace a nuestros derechos y libertades fundamentales.


Bibliografía


[1] En adelante AEPD

[2] Procedimiento N.º: PS/00260/2021  https://www.aepd.es/es/documento/ps-00260-2021.pdf (Última visita 28 de mayo de 2022)

[3] En adelante RGPD

[4] Ayuntamiento de Boecillo, Provincia de Valladolid, Comunidad autónoma de Castilla y León.

[5]Resolución condenatoria: R/03041/2017https://www.aepd.es/es/documento/aapp-00023-2017.pdf (Última visita 28 de mayo de 2022) 

[6] En adelante APDCAT 

[7] Arts. 15 -22 del RGPD; donde se explicitan, los derechos de: Acceso, Rectificación, Supresión (Olvido), Limitación del Tratamiento, Portabilidad y Oposición

[8] http://tiana.eadministracio.cat

[9] PS 28/2021 https://apdcat.gencat.cat/web/.content/Resolucio/Resolucions_Cercador/Resolucions/Documents/ca_ps_2021_028.pdf (Última visita 28 de mayo de 2022) 

Leave a Comment