Agregar a alguien a un grupo de WhatsApp sin su consentimiento conlleva una sanción de 4.000 euros.
La Agencia Española de Protección de Datos ha impuesto una multa de 4.000 euros a un club deportivo porque el club incluyo a sus antiguos usuarios a un grupo de WhatsApp sin consentimiento previo. (Las partes no tenían relación alguna desde hace diez años)
Por tanto, AEPD considera que se han vulnerado como máximo cuatro disposiciones del Reglamento General de Protección de Datos.
Reclamación
El usuario afectado presentó una reclamación ante la AEPD contra el club deportivo que le agrego al grupo de WhatsApp.
El motivo de su reclamación es que el club agregó su número de teléfono móvil al grupo de WhatsApp sin solicitar ningún consentimiento o autorización por adelantado.
Además, el denunciante informó que era usuario del citado club objeto de esta denuncia, pero que no tiene relación con el esta entidad desde hace más de diez años. Tras trasladar las referidas reclamaciones a la entidad deportiva para su análisis y notificar a la agencia las actuaciones realizadas para cumplir con los requisitos establecidos en la normativa de protección de datos, nunca ha obtenido respuesta a sus solicitudes.
Procedimiento sancionador
En julio de 2021, el director de la AEPD acordó iniciar sanciones por presuntas infracciones de los Artículo 32, 5.1.e y 6 del RGPD.
En particular, en este caso, el denunciante procesó los datos personales del denunciante (número de teléfono móvil) sin el consentimiento previo del denunciante, violando así este caso el Artículo 6 del RGPD.
Además, viola el artículo 5.1 e) que según el RGPD, ya que el club conserva los datos personales del reclamante sin ser su cliente durante más de 10 años. Cabe recordar que los preceptos antes mencionados establecen que los datos no deben conservarse más tiempo del requerido para su obtención.
Por otro lado, el hecho de que el número de teléfono móvil del reclamante fuera proporcionado a un tercero e incluido en el grupo de WhatsApp constituyó una violación a su confidencialidad. Por tanto, a juicio de la AEPD, las medidas de seguridad alegadas no son suficientes para cumplir con la normativa de protección de datos, asumiendo que estos hechos vulneran las otras dos infracciones del art b) yd). Artículo 32 del RGPD.
Sanciones
Pues bien, teniendo en cuenta a la agencia, estamos ante una negligencia no intencionada pero grave por parte del RGPD (artículo 83.2 b), porque aunque el reclamante no se ha sido cliente desde hace más de diez años, la entidad reclamante aún conserva sus datos personales.
El AEPD impuso las siguientes cuatro sanciones al club demandado:
- Por violación del art. RGPD 6, multa de 1.000 euros;
- Por violación del art. 5.1 e) RGPD, multa de 1.000 euros;
- Por violación del art. 32.1 e) del RGPD, multa de 1.000 euros;
- Por violación del art. 32.1 d) del RGPD, multa de 1.000 euros.