¿Te han incluido en un grupo de WhatsApp sin tu consentimiento?

Que sepas que ello infringe la normativa en protección de datos, pues infringe los principios de:

  • limitación de la finalidad
  • integridad
  • y confidencialidad.

El RGPD tipifica la infracción en el artículo 83.5.a) del RGPD y es considerada muy grave en el artículo72.1.d) e i) de la LOPDGDD.

Caso real

En el Procedimiento sancionador 195/2019, la AEPD analiza la inclusión de una persona en un grupo de whatsapp sin su consentimiento, por parte de una inmobiliaria.

El texto de la resolución lo podéis encontrar pinchando en el siguiente enlace:

https://lnkd.in/eK8Vg5H.

En este caso, el hecho de contratar a una empresa especializada en protección de datos y de remitir una carta de disculpa al afectado, supone que la denuncia finaliza con un apercibimiento a la empresa responsable de los hechos.

Legislación aplicable

El artículo 5 del RGPD establece que los datos personales serán:

a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);

b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; («limitación de la finalidad»);

c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);

d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»);

e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales («limitación del plazo de conservación»);

f) Tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).

El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»).”

Resolución del caso

Según dispone la AEPD, debe prestarse especial atención a:

  • la naturaleza, gravedad y duración de la infracción
  • su carácter intencional
  • medidas tomadas para paliar los daños y perjuicios sufridos
  • grado de responsabilidad o a cualquier infracción anterior pertinente
  • forma en que la autoridad de control haya tenido conocimiento de la infracción
  • cumplimiento de medidas ordenadas contra el responsable o encargado
  • adhesión a códigos de conducta
  • cualquier otra circunstancia agravante o atenuante.

En este caso concreto, se ha acreditado en virtud de los documentos aportados por la entidad denunciada el 12 de julio de 2019, que al contratar a una empresa  especializada en protección de datos, y remitir carta de disculpa al afectado, de fecha 25/01/2019, se han adoptado las medidas requeridas en el acuerdo de inicio del procedimiento, consistentes en:

«La supresión de los datos del reclamante del grupo de WhatsApp de la entidad denunciada de conformidad con los principios de finalidad, integridad y confidencialidad».

La denuncia finaliza con un apercibimiento a la empresa responsable de los hechos.