{"id":65444,"date":"2022-07-27T11:46:44","date_gmt":"2022-07-27T09:46:44","guid":{"rendered":"https:\/\/eiposgrados.com\/?p=65444"},"modified":"2022-07-27T12:21:45","modified_gmt":"2022-07-27T10:21:45","slug":"whatsapp-groups-and-their-consequences","status":"publish","type":"post","link":"https:\/\/eiposgrados.com\/eng\/blog-dpo\/compliance\/grupos-de-whatsapp-y-sus-consecuencias\/","title":{"rendered":"WhatsApp groups and their consequences<\/strong>"},"content":{"rendered":"\n

A la luz de la AEPD<\/strong><\/h2>\n\n\n\n

Desde hace m\u00e1s de 10 a\u00f1os, el grupo de mensajer\u00eda instant\u00e1nea WhatsApp se ha instalado en todos los recovecos\u00a0de nuestra vida como premisa sine qua non<\/em> para poder relacionarnos con los dem\u00e1s. Y no s\u00f3lo con nuestros familiares y amigos, sino como medio catalizador para administraciones p\u00fablicas y\u00a0empresas que lo incluyen en sus servicios como una ventaja competitiva en aras de atender al cliente\/ciudadano de manera inmediata.\u00a0 \u00a0<\/p>\n\n\n\n

Millones de personas exponen sus datos personales (fotos, nombre y apellidos, n\u00fam. DNI, geolocalizaci\u00f3n, v\u00eddeos, estados de WhatsApp…) sin conocer realmente las consecuencias que ello supone, quienes pueden acceder a sus datos y c\u00f3mo se deben de establecer los l\u00edmites. Analicemos pues a continuaci\u00f3n, varios aspectos importantes desde el prisma de la protecci\u00f3n de datos: <\/p>\n\n\n\n

\u00bfEl s\u00f3lo consentimiento es suficiente para que me puedan<\/strong> incluir en un grupo de WhatsApp?<\/strong><\/h2>\n\n\n\n

Para analizar las cuestiones que ahora devienen, primero es importante aclarar que nuestro n\u00famero de tel\u00e9fono es un dato personal que nos identifica de manera un\u00edvoca e inequ\u00edvoca y, por ello, tambi\u00e9n merece ser digno de protecci\u00f3n jur\u00eddica.<\/p>\n\n\n\n

La Agencia Espa\u00f1ola de Protecci\u00f3n de Datos[1]<\/a> en varias ocasiones ha manifestado que el s\u00f3lo consentimiento no es suficiente para que nos puedan incluir en un grupo de WhatsApp si no hemos prestado \u00e9ste de manera expl\u00edcita para tal fin.<\/p>\n\n\n\n

Veamos un ejemplo donde la AEPD impone una sanci\u00f3n[2]<\/a> de 4.000\u20ac a un club deportivo cordob\u00e9s por vulnerar hasta cuatro art\u00edculos del Reglamento General de Protecci\u00f3n de Datos[3]<\/a> “al haber tratado datos personales de la reclamante sin su consentimiento”. En concreto, consider\u00f3 que el Club Deportivo Sansue\u00f1a infringi\u00f3 el art\u00edculo 6 (relativo a la licitud del tratamiento), el 5.1.e (vulneraci\u00f3n del principio de limitaci\u00f3n del plazo de conservaci\u00f3n) el 32.1 b) y 32.1 d) (relativo a la seguridad del tratamiento) del RGPD: en primer lugar, por no haber solicitado el consentimiento expreso de la exsocia. Tambi\u00e9n, por haber guardado los datos personales de la ex clienta durante ese tiempo sin que fuese necesario hacerlo. Y por \u00faltimo, por no haber garantizado que esa informaci\u00f3n se haya mantenido de forma segura durante esos a\u00f1os en las que las partes no ten\u00edan ning\u00fan tipo de relaci\u00f3n desde hac\u00eda m\u00e1s de diez a\u00f1os.<\/p>\n\n\n\n

Los ayuntamientos y el uso de WhatsApp como canal de participaci\u00f3n ciudadana<\/strong><\/h2>\n\n\n\n

En el caso anteriormente expuesto, hablamos de una empresa privada. Pero, \u00bfQu\u00e9 ocurre si una administraci\u00f3n p\u00fablica, como un ayuntamiento crea un grupo de WhatsApp como canal de participaci\u00f3n ciudadana?<\/p>\n\n\n\n

Como ya hemos comentado, los grupos de WhatsApp manejados sin las autorizaciones pertinentes por cada integrante (administradores y usuarios), pueden llegar a ser un verdadero peligro para nuestra privacidad: as\u00ed se desprende de la resoluci\u00f3n 03041\/2017 de  la AEPD ; en la cual amonesta al Ayuntamiento de Boecillo[4]<\/a> (del sur de Valladolid y con apenas 4100 habitantes) por crear un grupo de WhatsApp en el que un concejal del consistorio incluy\u00f3 a 255 personas para informarles de posibles temas de inter\u00e9s del municipio[5]<\/a> sin \u201cconsentimiento ni autorizaci\u00f3n para dicho tratamiento\u201d.<\/p>\n\n\n\n

Pero en el caso que se expone a continuaci\u00f3n, el Ayuntamiento de Tiana, a pesar de contar con el consentimiento expl\u00edcito de cada uno de los componentes del grupo de WhatsApp y de informarles c\u00f3mo ser\u00edan tratados sus datos personales, es sancionado por la Autoridad Catalana de Protecci\u00f3n de Datos[6]<\/a> al no tener en cuenta el art. 25 del RGPD. En concreto, por no tener en cuenta y vulnerar el principio de protecci\u00f3n de datos desde el dise\u00f1o, y alude adem\u00e1s a otro aspecto importante: la distinci\u00f3n entre \u201cgrupo\u201d y \u201clista de distribuci\u00f3n\u201d, siendo ambas funciones de WhatsApp similares entre s\u00ed sin llegar a ser lo mismo.<\/p>\n\n\n\n

Pong\u00e1monos en antecedentes: en julio de 2021, los responsables del consistorio tianence crearon el grupo de WhatsApp denominado ‘Noticias Tiana’ con el objetivo de comunicar a sus ciudadanos informaci\u00f3n institucional y de inter\u00e9s general para el pueblo (llegado a tener este canal de \u201ccomunicaci\u00f3n oficial\u201d  hasta 257 personas) En lo que ata\u00f1e a la protecci\u00f3n de datos, el ayuntamiento cumpl\u00eda en parte con lo previsto en el art\u00edculo 13.1.c del RGPD (informaci\u00f3n por capas) y s\u00f3lo informaba a los usuarios a trav\u00e9s de un mensaje que conten\u00eda el enlace para unirse al grupo; indicando la identidad del responsable del tratamiento, la base jur\u00eddica, la finalidad del tratamiento, el plazo de conservaci\u00f3n de los datos, la posibilidad de ejercer los derechos ARCO-LIPO[7]<\/a> a trav\u00e9s de un enlace que redirig\u00eda a la sede electr\u00f3nica[8]<\/a> del Ayuntamiento, y las v\u00edas de contacto con el delegado de protecci\u00f3n de datos. Sin embargo, no recog\u00eda de manera expl\u00edcita el derecho a presentar una reclamaci\u00f3n ante la APDCAT.<\/p>\n\n\n\n

El principal error que cometi\u00f3 la entidad municipal fue “no implantar medidas t\u00e9cnicas y organizativas adecuadas para aplicar de forma efectiva el principio de confidencialidad. En concreto, no se garantizaba que las personas que se unieron al grupo de WhatsApp creado por el Ayuntamiento, no pudieran acceder al n\u00famero de m\u00f3vil, foto de perfil y nombre de usuario del resto de miembros\u201d seg\u00fan se recoge en la misma resoluci\u00f3n del procedimiento sancionador[9]<\/a>.<\/p>\n\n\n\n

Pese a ello, la entidad municipal asegur\u00f3 a la APDCAT que a pesar de era consciente de que cre\u00f3 un grupo de WhatsApp sin tener en cuenta la meritada medida de seguridad para evitar que los datos de las personas que participaran fueran accesibles para el resto de los participantes, entend\u00eda que quienes se uniesen a \u00e9ste asum\u00edan de manera directa como usuarios tales consecuencias. Es decir, el ayuntamiento no hubiera incumplido la normativa en protecci\u00f3n de datos si hubiera optado por la lista de distribuci\u00f3n en lugar del grupo de WhatsApp; ya que en la lista de distribuci\u00f3n la comunicaci\u00f3n se produce de manera unidireccional, siendo los administradores los \u00fanicos que pueden enviar mensajes y quienes tienen un verdadero control en la seguridad de la informaci\u00f3n que se publica. Gracias a ello, <\/em>\u201clas personas incluidas en la lista de difusi\u00f3n desconocen qui\u00e9nes son los otros integrantes de la lista y, por tanto, no pueden acceder a los datos del resto”, no siendo id\u00f3nea la funcionalidad de los grupos para los fines de tales asuntos.<\/p>\n\n\n\n

Finalmente, se condena al ayuntamiento por una infracci\u00f3n prevista en el art\u00edculo 83.5.b) en relaci\u00f3n con el art\u00edculo 13; y otra infracci\u00f3n prevista en el art\u00edculo 83.4.a) en relaci\u00f3n con el art\u00edculo 25.1 del RGPD<\/p>\n\n\n\n

\u00bfQu\u00e9 ocurre con los grupos de WhatsApp de familiares y amigos?<\/strong> \u00bfY los del colegio y los de las empresas?<\/strong><\/h2>\n\n\n\n

Lo comentado anteriormente no opera para grupos de WhatsApp de familiares o amigos; ya que como comenta el propio RGPD las actividades dom\u00e9sticas o privadas quedan fuera de su \u00e1mbito de aplicaci\u00f3n.<\/p>\n\n\n\n

En lo que ata\u00f1e a los grupos de WhatsApp de padres\/madres del colegio tampoco es de aplicaci\u00f3n la normativa en protecci\u00f3n de datos. Ello no empece, que sea necesario siempre el consentimiento de cada usuario para que lo incluyan en el grupo. Es recomendable que desde el primer momento se pongan l\u00edmites en su contenido y establecer el fin del mismo.<\/p>\n\n\n\n

Cuesti\u00f3n distinta es, si es el propio colegio como instituci\u00f3n de ense\u00f1anza es quien decide crear motu proprio el grupo de WhatsApp. En ese caso, como ya se ha se\u00f1alado en el p\u00e1rrafo anterior, es preceptivo el consentimiento de manera expresa, espec\u00edfica e informada (de manera previa) para meter a los progenitores y\/o representantes legales en el grupo.  En caso de que no se realice de esa manera, se puede denunciar ante la AEPD.<\/p>\n\n\n\n

En cuanto al uso del WhatsApp en el \u00e1mbito empresarial, se aconseja usar WhatsApp Business; ya que permite integrar diferentes funciones, entre las que se destacar\u00eda la funci\u00f3n que permite la obtenci\u00f3n del consentimiento del usuario, antes de empezar a comunicarse con el mismo. Ello, servir\u00eda como medio de prueba para acreditar que la empresa de manera previa ha solicitado de forma expresa el consentimiento de este cumpliendo as\u00ed con el principio de accountability o con el principio de transparencia.<\/p>\n\n\n\n

Por tanto, de acuerdo con todo lo expuesto anteriormente, es fundamental, tener en cuenta el car\u00e1cter poli\u00e9drico de la protecci\u00f3n de datos. Analizar todas sus caras y su transversalidad en la aplicaci\u00f3n pr\u00e1ctica de estos. Quedarse en la \u201csuperficie\u201d con el deber de informar por capas no basta, hay que saber mirar m\u00e1s all\u00e1 y anticiparte ante posibles hechos futuros que supongan un riesgo y por ende un peligro que amenace a nuestros derechos y libertades fundamentales.<\/p>\n\n\n\n

<\/div>\n\n\n\n
\n\n\n\n

Bibliograf\u00eda<\/strong><\/p>\n\n\n\n

\n\n\n\n

[1]<\/a> En adelante AEPD<\/p>\n\n\n\n

[2]<\/a> Procedimiento N.\u00ba: PS\/00260\/2021  https:\/\/www.aepd.es\/es\/documento\/ps-00260-2021.pdf<\/a> (\u00daltima visita 28 de mayo de 2022)<\/p>\n\n\n\n

[3]<\/a> En adelante RGPD<\/p>\n\n\n\n

[4] Ayuntamiento de Boecillo, Provincia de Valladolid, Comunidad aut\u00f3noma de Castilla y Le\u00f3n.<\/p>\n\n\n\n

[5]<\/a>Resoluci\u00f3n condenatoria: R\/03041\/2017https:\/\/www.aepd.es\/es\/documento\/aapp-00023-2017.pdf<\/a> (\u00daltima visita 28 de mayo de 2022) <\/p>\n\n\n\n

[6]<\/a> En adelante APDCAT <\/p>\n\n\n\n

[7]<\/a> Arts. 15 -22 del RGPD; donde se explicitan, los derechos de: Acceso, Rectificaci\u00f3n, Supresi\u00f3n (Olvido), Limitaci\u00f3n del Tratamiento, Portabilidad y Oposici\u00f3n<\/p>\n\n\n\n

[8]<\/a> http:\/\/tiana.eadministracio.cat<\/a><\/p>\n\n\n\n

[9]<\/a> PS 28\/2021 https:\/\/apdcat.gencat.cat\/web\/.content\/Resolucio\/Resolucions_Cercador\/Resolucions\/Documents\/ca_ps_2021_028.pdf<\/a> (\u00daltima visita 28 de mayo de 2022) <\/p>\n","protected":false},"excerpt":{"rendered":"

For more than a decade, WhatsApp has become a tool to interact with others. Can a company be added to a group without our consent?<\/p>","protected":false},"author":2460,"featured_media":65449,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[368,142],"tags":[],"class_list":["post-65444","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-compliance","category-blog"],"acf":[],"_links":{"self":[{"href":"https:\/\/eiposgrados.com\/eng\/wp-json\/wp\/v2\/posts\/65444","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/eiposgrados.com\/eng\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/eiposgrados.com\/eng\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/eiposgrados.com\/eng\/wp-json\/wp\/v2\/users\/2460"}],"replies":[{"embeddable":true,"href":"https:\/\/eiposgrados.com\/eng\/wp-json\/wp\/v2\/comments?post=65444"}],"version-history":[{"count":0,"href":"https:\/\/eiposgrados.com\/eng\/wp-json\/wp\/v2\/posts\/65444\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/eiposgrados.com\/eng\/wp-json\/wp\/v2\/media\/65449"}],"wp:attachment":[{"href":"https:\/\/eiposgrados.com\/eng\/wp-json\/wp\/v2\/media?parent=65444"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/eiposgrados.com\/eng\/wp-json\/wp\/v2\/categories?post=65444"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/eiposgrados.com\/eng\/wp-json\/wp\/v2\/tags?post=65444"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}