WhatsApp de la empresa en móvil personal
Una persona presentó una reclamación ante la AEPD contra una empresa, en la que expuso que, durante su relación laboral con dicha entidad en una de sus tiendas, se le exigió utilizar su teléfono móvil personal debido a la falta de entrega de un terminal corporativo, que sí se facilitó a empleados contratados posteriormente. Durante sus vacaciones, la persona notificó por correo electrónico y verbalmente su intención de abandonar los grupos de WhatsApp de la empresa. A pesar de ello, en un día de descanso fue reincorporada a uno de dichos grupos sin previo aviso, siendo eliminada solo tras su despido. Aportó como prueba capturas de pantalla y el mencionado correo electrónico donde expresaba que dejaría de usar su móvil personal para asuntos laborales. Por su parte, el reclamado afirmó haber respetado los derechos de la persona, alegando que nunca solicitó explícitamente la eliminación permanente de los grupos, y que se trataba de una baja temporal mientras duraban las vacaciones. Asimismo, el reclamado argumentó que el uso de móviles personales fue una solución temporal ante la falta de terminales corporativos. Posteriormente, se estableció un protocolo prohibiendo el uso de móviles personales en grupos laborales desde el 1 de septiembre de 2023.
La AEPD inicialmente inadmitió a trámite la reclamación, pero, tras recurso de reposición, reconsideró y admitió la denuncia. Se destacó que el reclamado no justificó adecuadamente la licitud del uso del número personal de la persona para su inclusión en el grupo de WhatsApp, ni acreditó una imposibilidad técnica real para entregar un móvil corporativo, ni el consentimiento de la persona afectada.
El procedimiento sancionador se dirigió contra el reclamado por un tratamiento de datos personales (en concreto, el número de teléfono móvil) sin base legal, al haber incluido a la persona en un grupo de WhatsApp laboral sin su consentimiento ni otra causa legítima. La AEPD consideró acreditado que el número fue utilizado de nuevo tras la negativa expresa de la persona a seguir usándolo con fines laborales. Aunque la empresa alegó que el uso se limitaba a datos mínimos y que los terminales aseguraban la confidencialidad, se demostró que se recurrió de nuevo al móvil personal sin que mediara base legal.
Se concluyó que la actuación del reclamado vulneró el principio de licitud del tratamiento de datos personales recogido en el artículo 6.1 del RGPD. El responsable del tratamiento, en este caso el reclamado, no probó la existencia de una base jurídica que legitimase dicho uso. La alegación de necesidad operativa por falta de terminales no fue considerada suficiente ni válida para justificar el tratamiento. La AEPD insistió en que la responsabilidad proactiva exige poder acreditar que el tratamiento se llevó a cabo conforme al RGPD. Además, se recordó que el consentimiento del interesado debe ser inequívoco, lo cual no se produjo en el presente caso.
Por todo ello, la AEPD consideró que los hechos eran constitutivos de una infracción muy grave del artículo 6.1 del RGPD, conforme a lo previsto en el artículo 72.1.b) de la LOPDGDD. Para fijar la cuantía de la sanción, se valoraron factores como la gravedad de la infracción, la utilización reiterada del número personal tras su expresa negativa, y el hecho de que el reclamado contaba con medios alternativos que no utilizó adecuadamente. La infracción fue calificada como grave y con intencionalidad o negligencia, lo que elevó la cuantía de la multa inicial propuesta a 70.000 euros.
Sin embargo, se ofreció la posibilidad de reducir dicha cuantía aplicando las reducciones previstas en el artículo 85 de la LPACAP: un 20% por reconocimiento de responsabilidad y otro 20% por pago voluntario. El reclamado optó por acogerse a ambas reducciones, lo que redujo el importe final a 42.000 euros. El pago fue realizado en la fecha estipulada, con lo cual se reconoció la responsabilidad de los hechos.
Además de la sanción económica, la AEPD impuso una medida correctiva para que, en el plazo de un mes, el reclamado acreditara la adopción de medidas necesarias para garantizar que el tratamiento de datos personales se adecuase a lo dispuesto en el artículo 6.1 del RGPD. Se advirtió que el incumplimiento de esta medida podría ser considerado como una nueva infracción.
La AEPD resolvió declarar la comisión de una infracción del artículo 6.1 del RGPD por parte del reclamado, sancionando con una multa de 70.000 euros, que tras reducciones quedó en 42.000 euros. También ordenó la adopción de medidas correctivas en un plazo de un mes, con advertencia expresa sobre las consecuencias de su incumplimiento. Se declaró la terminación del procedimiento sancionador al haberse producido el pago voluntario y el reconocimiento de responsabilidad por parte del reclamado.