¿Cómo crear grupos de WhatsApp legalmente?
Crear un grupo de WhatsApp sin consentimiento de los miembros de éste es una acción muy habitual. Sin embargo, es una práctica que no está permitida por la Ley.
Tras la reciente Resolución de la Agencia Española de Protección de Datos 03041/2017 sobre la inclusión de personas en un grupo de WhatsApp sin su consentimiento, debemos estar atentos a este tipo de acciones. Como veremos a continuación constituyen graves infracciones en materia de protección de datos.
De manera resumida, la Resolución de la AEPD resuelve el conflicto denunciado por un ciudadano contra el Ayuntamiento de Boecillo. El Ayuntamiento incluyó al denunciante en un grupo de WhatsApp de 255 vecinos sin su previo consentimiento.
Según la Resolución, el denunciante afirma no tener relación con el administrador y creador del grupo de WhatsApp. Tampoco con los participantes del mismo. Igualmente, el resto de miembros del grupo, desconocían la identidad del resto de participantes y la finalidad del chat grupal.
Por su parte el Ayuntamiento en su escrito de alegaciones defiende su postura. El Ayuntamiento afirma que los vecinos del municipio dieron su consentimiento tácito para ser informados de actuaciones de interés vecinal.
La intención del Ayuntamiento denunciado era crear una lista de distribución. Y al percatarse del error quiso eliminar sin éxito el grupo de WhatsApp, pero sólo consiguió salirse del grupo.
La AEPD considera que en este caso se vulneran dos principios fundamentales en materia de protección de datos:
- Calidad de los datos (regulado en el artículo 4 de la LOPD).
- Deber de secreto (previsto en el artículo 10 de la LOPD).
► Lea también: ¿Cómo protegerte de delitos informáticos?
Principios básicos de protección de datos para crear un grupo de WhatsApp legalmente: Principio de calidad de datos:
El principio de calidad que recoge el artículo 4.2 de la LOPD significa que los datos personales que se recaban (entre ellos el número de teléfono) no se pueden usar para finalidades distintas a aquéllas para las que fueron recogidos.
Esto nos lleva a afirmar que el responsable del fichero deberá informar expresamente de la finalidad y el uso que se va a dar a los datos personales. Datos personales previamente facilitados por el titular de los mismos en la recogida de datos.
La finalidad del uso de tales datos debe conectarse con el principio de pertinencia o limitación regulado en el artículo 4.1 LOPD. Es decir, en la recogida de datos hay que tener en cuenta que los datos solicitados “sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades determinadas, explícitas y legítimas para las que se hayan obtenido.”
En este sentido, conviene citar la Sentencia 292/2000 del Tribunal Constitucional de 30 de noviembre: “el derecho a consentir la recogida y tratamiento de los datos personales no implica en modo alguno consentir la cesión de tales datos a terceros...Y, por tanto, la cesión de los mismos a un tercero para proceder a un tratamiento con fines distintos de los que originaron su recogida, aun cuando puedan ser compatibles con éstos supone una nueva posesión y uso que requiere el consentimiento del interesado.”
La AEPD entiende que en el caso analizado el Ayuntamiento ha vulnerado el principio de calidad (artículo 4.2 LOPD) porque la inclusión del número de teléfono del denunciante en el chat grupal “supone una desviación de la finalidad en el tratamiento de los datos”.
La infracción se considera infracción grave y está regulada en el artículo 44.3.c) de la LOPD.
Deber de secreto:
El deber de secreto, regulado en el artículo 10 de la LOPD, dispone que el responsable del fichero (y todas las personas que intervengan en cualquier fase del tratamiento de los datos), está obligado a guardar secreto profesional incluso cuando hubiere finalizado la relación entre ellos.
Este principio básico está necesariamente relacionado con la confidencialidad de los datos personales y el derecho de las personas a mantener la privacidad de los mismos. Por tanto, el deber de secreto tutela la seguridad de los datos personales y, consecuentemente, el poder de control o disposición sobre sus datos.
En este sentido, el fin último de este deber de secreto es que los datos personales no puedan ser conocidos por terceros.
Así las cosas, el grupo de WhatsApp creado por el responsable del Ayuntamiento de Boecillo contenía los números de teléfono de los vecinos en modo visible para el resto de participantes (pues así es como funciona la aplicación me mensajería instantánea).
En consecuencia, el Ayuntamiento de Boecillo vulneró el deber de secreto. Ninguno de los integrantes del grupo consintió la comunicación o cesión de sus datos a terceros.
Tales hechos probados constituyen una infracción grave según el artículo 44.3.d) de la LOPD.
► No se pierda: Delito contra la intimidad en Internet: descubrimiento y revelación de secretos
¿Por qué el Ayuntamiento no ha sido sancionado por la AEPD por crear el grupo de WhatsApp?
La Resolución de la AEPD 03041/2017 concluye exponiendo las razones por las que en este caso no considera que deba imponerse ninguna sanción de las previstas por la LOPD:
“En el presente caso no se proponen medidas correctoras concretas a tomar por el Ayuntamiento de Boecillo al haber quedado acreditado en el procedimiento que, tan pronto como éste advirtió la situación irregular que se había producido, se adoptaron las medidas necesarias para cerrar el grupo de WhatsApp “(…)”, constando que el denunciante fue eliminado como integrante del citado grupo a las 11:37 horas del mismo día de creación del grupo”.
Esta resolución pone de manifiesto que crear grupos de WhatsApp sin consentimiento expreso de las personas integrantes constituye un incumplimiento grave de la normativa de protección de datos.
Como decía al principio, crear un grupo de WhatsApp es una situación cotidiana que la mayoría realiza sin ser consciente de sus consecuencias legales y que pueden ser sancionables.
► También puede leer: Pericia en la suplantación de identidad en Redes Sociales
Conclusión
Para que el tratamiento y el uso de datos personales por el responsable del fichero sea conforme a Derecho se deberá respetar que:
- El tratamiento de los datos sea pertinente para el objetivo del mismo.
- La finalidad debe ser determinada e informada al titular del dato personal que va a ser tratado por el responsable del fichero.
- El titular de los datos consienta expresamente el tratamiento de los datos para esa finalidad concreta.
- El responsable del fichero o cualquier persona que intervenga en el tratamiento de los datos tiene la obligación de guardar secreto de los mismos.
- Los datos personales no pueden ser comunicados a terceros sin consentimiento de su titular. A no ser que exista una autorización
¿Necesitas del asesoramiento de un perito informático?
Nuestros ingenieros en informática están capacitados para hacer más comprensible este complicado proceso. No pierdas la oportunidad de presentar esa información tan significativa para la defensa de tu causa. ¡Contacta con nosotros!