Todo comenzó con motivo de una cena de navidad, el denunciante a principios de diciembre de 2016 realizó una reserva para cenar en el restaurante denunciado, para un día tan señalada como el 31 de diciembre. Tal y como se describe en los antecedentes de la Resolución AEPD /02302/2017 el restaurante denunciado y días previos a la cena creó un grupo de Whatsapp con la identidad de los asistentes, las mesas donde se iban a sentar cada uno y las personas que le acompañaban. Ante este hecho, el denunciante decidió salir de forma voluntaria del grupo al que había sido incluido. Aunque de nada le sirvió, pues fue incluido nuevamente por el administrador y además recibió un mensaje privado donde le indicaban que si salía del grupo se anularía su reserva.
Recibida la denuncia la AEPD procedió a la realización de actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, pro todos los intentos de comunicación con el restaurante infractor o sus responsables fueron fallidos. La AEPD siguiendo el procedimiento, acordó someter a trámite de audiencia previa un procedimiento de apercibimiento, tras comprobar que la entidad denunciada no tenía antecedentes de sanciones y apercibimientos precedentes.
¿Qué fundamentos de derecho se dan en el presente supuesto expuesto?
– En primer lugar, se produce una infracción del artículo 6.1 de la LOPD, el cual dispone que: “El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra cosa”.
Por su parte la Audiencia Nacional ha manifestado que es el responsable del tratamiento a quien corresponde asegurarse de que aquel a quien se solicita el consentimiento, efectivamente lo da, y que esa persona que está dando el consentimiento es efectivamente el titular de esos datos personales, debiendo conservar la prueba del cumplimiento de la obligación a disposición de la Administración, encargada de velar por el cumplimiento de la ley.”
La AEPD considera acreditada que la entidad denunciada (titular del restaurante) es el responsable de la creación del grupo de Whatsapp y que no disponía consentimiento del afectado para el tratamiento de datos realizados.
A este respecto el artículo 44.3.b) de la LOPD tipifica como infracción grave tratar los datos de carácter personal sin recabar el consentimiento de las personas afectadas (…).
– En segundo lugar, en cuanto a la determinación de las responsabilidades que se derivan de tal actuación, el artículo 10 de la LOPD dispone que: “El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo”.
Este deber de confidencialidad es una exigencia elemental que comporta que los datos tratados no pueden ser conocidos por ninguna persona o entidad ajena fuera de los casos autorizados por ley.
Está claro para la Agencia que la entidad denunciada, con la incorporación de un listado con los datos personales de los comensales, permitió el acceso por parte de terceros a datos personales relativos al afectado sin contar con el consentimiento del titular de tales datos, vulnerándose así el deber de secreto.
La vulneración de este deber comporta igualmente una infracción grave (art.44.3 d LOPD).
Nos encontramos por lo tanto ante un supuesto en el que un mismo hecho deriva en dos infracciones, dándose la circunstancia de que la comisión de una implica, necesariamente, la comisión de la otra. Esto es, del tratamiento de datos que supone incorporar datos personales a un grupo de Whatsapp, a su vez, deriva en una vulneración del deber de secreto; y procede subsumir ambas infracciones en una, procediendo imponer únicamente declarar la más grave que, es la prevista para la infracción del artículo 6 de la LOPD tratándose además de la infracción originaria que ha implicado la comisión de la otra.
Por último y en aplicación del artículo 45.6 de la LOPD, la AEPD decidió no acordar la apertura del procedimiento sancionador, y en su lugar, apercibir al sujeto responsable a fin de que, en el plazo que el órgano sancionador determine, acredite la adopción de las medidas correctoras que en cada caso resultasen pertinentes puesto que como hemos indicado al comienzo de nuestro post en la entidad denunciada concurren los dos requisitos básicos para aplicar el apercibimiento, esto es:
a) que los hechos fuesen constitutivos de infracción leve o grave conforme a lo dispuesto en esta Ley.
b) Que el infractor no hubiese sido sancionado o apercibido con anterioridad.
Podemos terminar el post a modo de «moraleja» usando las propias palabras de la Agencia: «no crees grupos de Whatsapp de comensales (aplicable a cualquier otro afectado), salvo que cuentes con el consentimiento de los mismos para la finalidad pretendida«.