Sancionado por enviar WhatsApp a sus empleados
Un empleado denunció a su empresa ante la AEPD por enviarle comunicaciones por WhatsApp a su móvil personal, a pesar de haber indicado a la empresa que no lo hiciera, ya que él no autorizaba estos envíos a su movil personal, aunque no dispusiera de un móvil de trabajo. Estas comunicaciones incluían datos personales y documentación de clientes de la empresa.
Este empleado defendía que su móvil y WhatsApp personal no eran herramientas de trabajo, por lo que la empresa no debía comunicarse con él por estos medios, indicando que la empresa debía dirigirse a él a través de la dirección de correo corporativa. Por contra, la empresa alegaba que el WhatsApp era una herramienta idónea para contactar más ágilmente con su empleado, eso sí, dentro de su horario laboral. Además, la empresa se defendía que no lo había incluido en un grupo de WhatsApp, lo que claramentre hubiera requerido su consentimiento, sino que eran mensajes directos y necesarios.
Así, la AEPD tuvo que aclarar si la empresa disponía de base legitimadora para el tratamiento de datos consistente en comunicarse con su empleado. Si la base legitimadora hubiera sido el consentimiento, estaría claro que la empresa no disponía de base legitimadora y, por tanto, estaría tratando los datos de contacto de su empleado de forma ilícita.
La AEPD no sancionó a la empresa por este tratamiento ilícito, por lo que debió entender que existía una base legitimadora, seguramente ser necesario para el desarrollo de la relación contractual. No obstante, sí sancionó a la empresa, aunque por otro motivo, por haber tratado esos datos una vez terminada la relación contractual y, lo más importante del caso, por enviar datos y documentación de clientes al dispositivo personal de su empleado, sin que este tuviera medidas de seguridad apropiadas para proteger la confidencialidad de esos datos.
En definitiva, aunque una empresa pueda comunicarse con sus empleados a través de sus dispositivos particulares mientras permanece la relación laboral, no puede enviarle datos y documentación de clientes, salvo le que conste que ese dispositivo tiene implementadas las medidas de seguridad necesarias para proteger la confidencialidad de esa información.