La AEPD apercibe a un restaurante por crear y usar un grupo de WhatsApp
Y un buen día, WhatsApp se hizo presente en nuestro mundo, y el de las empresas.
Desde que se popularizó su uso nos hemos acostumbrado, o resignado, a recibir miles de mensajes, muchos de ellos sin interés, otros tantos de mal gusto, y para colmo después vino la posibilidad de la creación de grupos de usuarios.
Grupos en los que seguramente todos habremos tenido una mala experiencia, amén de las susceptibilidades y el hartazgo que provocan o por el temor a abandonarlos por miedo a ser juzgados, y no hablamos solo de los temidos grupos de padres del colegio.
Además, de un tiempo a esta parte, muchas empresas lo están usando como servicio de atención al cliente, y en ocasiones para comunicaciones comerciales, a las que la Agencia Española de Protección de Datos (AEPD) ya ha sancionado por ello.
Se trata de la primera infracción que la Agencia Española de Protección de Datos (AEPD) ha dictado vinculada a la creación de un grupo de WhatsApp.
Es el caso de un restaurante que infringe dos artículos de la LOPD:
- El artículo 6.1 de la LOPD (“el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”)
- El artículo 10 de la LOPD (“El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que ……”.
El motivo de la denuncia fue la inclusión sin permiso en un grupo, del que se salió y fue nuevamente incluido:
En la resolución adjunta (ver enlace) se indica el desarrollo de los hechos: “Con fecha 8 de diciembre de 2016 realizó reserva para la cena del día 31 de diciembre de 2016 en el citado restaurante; varios días antes de la cena, se crea un grupo de whatsapp con las personas que participaban en dicha cena.
El denunciante salió del grupo pero fue incluido nuevamente por el administrador, recibiendo un mensaje privado, en el que le comunican que si sale del grupo se anulará la reserva. Asimismo, en el citado grupo se publicó una lista de los asistentes con nombres y apellidos, las mesa donde se sentarían y cuantas personas le acompañaran”.
La Subdirección General de Inspección de Datos de la AEPD, tras la denuncia procedió a abrir actuaciones previas de investigación para esclarecer los hechos denunciados, tratando de ponerse en contacto con la entidad denunciada, lográndolo con la supuesta dueña (así se identificó) pero siendo infructuosos los intentos posteriores de notificación alguna.
La resolución, pone de manifiesto los siguientes hechos probados:
- La realización de la reserva
- Que el responsable del restaurante creó un grupo de WhatsApp con las personas que participaban en dicha cena, enviando un listado con el nombre y apellidos de quien hizo la reserva, el número de personas que cenarían y un plano del restaurante con la ubicación de la mesa
- Que el denunciante salió del grupo pero fue incluido nuevamente por el administrador, recibiendo un mensaje privado, en el que le comunicaban que “si sale del grupo se anulará la reserva”.
Dos fueron los artículos infringidos.
La AEPD manifiesta que se infringió el artículo 6.1 de la LOPD (“el tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”) al haberse acreditado que el restaurante fue el responsable de la creación de un grupo de whatsapp con las personas que cenarían en Nochevieja, insertando un listado de todos los comensales sin que hubiese consentido para el tratamiento de sus datos personales.
Al mismo tiempo, la AEPD señala que además del artículo 6.1, también se infringió el artículo 10, es decir, que se vulneró el deber de secreto, al haber posibilitado el acceso por terceros (el resto de comensales) a datos personales sin que el titular de los datos hubiese prestado su consentimiento para ello.
Al tratarse de un mismo hecho que deriva en dos infracciones, puesto que la comisión de una implica, necesariamente, la comisión de la otra, procede únicamente declarar la infracción más grave, en este caso la del artículo 6 de la LOPD.
Destacar que el restaurante no contaba con antecedentes de sanciones y apercibimientos precedentes.
La AEPD no procede a sancionar económicamente pero apercibe al restaurante, al concluir que se cumplen los requisitos recogidos establecidos en la Ley, es decir:
- Se constata una cualificada disminución de la culpabilidad ante la no vinculación de la actividad del denunciado con la realización de tratamientos de datos de carácter personal
- La ausencia de reincidencia
- Y que no constan perjuicios causados a las personas interesadas.
Eso sí, la AEPD insta al restaurante a que no cree grupos de WhatsApp de comensales, salvo que cuente con el consentimiento de los mismos para la finalidad pretendida.
Como habitualmente indicamos a nuestros Clientes y a todos aquellos que nos consultan, tenemos que ser muy cuidadosos con el tema de gestión de las suscripciones a los boletines o newsletter, de las comunicaciones comerciales que hagamos, y de un tiempo a esta parte, con el uso general que las empresas le dan a la aplicación de WhatsApp (envío de partes de baja, vacaciones, comentarios varios….)