Vulnerar la normativa de protección de datos puede salir caro: sanciones de hasta 20 millones de euros
24 oct 2021 . Actualizado a las 09:55 h.Todo comienza en el Club Deportivo Sansueña, cuando uno de sus responsables incluye en un grupo de whatsapp -sin permiso, y esto es lo realmente importante- a una antigua usuaria que ya no tiene relación con la institución. Esa decisión le costó a la institución deportiva el pago de una multa de 4.000 euros por la Agencia de Protección de Datos. Lo que parecía una tontería no lo fue tanto porque, según la ley, el club infringió hasta cuatro artículos del reglamento: la falta de consentimiento de tratamiento de datos personales, conservar los datos de la usuaria más tiempo del necesario para la finalidad con que fueron recabados, facilitar un número de teléfono móvil a terceros es una vulneración de la confidencialidad y de todo ello se deduce también la existencia de una infracción por la seguridad del tratamiento de datos. Así lo recogió un informe de Abogacía Española y lo explica Samuel Parra Sáez, abogado experto en esta materia, quien señala los errores más frecuentes que comenten las empresas con estos mensajes instantáneos: si hablamos de aquellos que tienen consecuencias jurídicas, es decir, errores que supongan vulnerar alguna normativa, lo más habitual es el envío de comunicaciones comerciales no deseadas o sin base de legitimación, así como la inclusión de personas en grupos sin su previo consentimiento o sin que exista una base de legitimación que ampare el tratamiento. El primer caso supone vulnerar la Ley de Servicios de la Sociedad de la Información. El segundo implica directamente vulnerar la normativa de protección de datos.
Supongamos ahora que la compañía añade en esos grupos de WhatsApp números de teléfonos de empresa. En este caso, ¿tiene también que pedir permiso a los poseedores de los dispositivos que forman parte de su plantilla? «La normativa de protección de datos -dice Parra- solo se aplica a datos de personas físicas y no de personas jurídicas, por lo que añadir teléfonos de empresas no sería una conducta relevante para la protección de datos. No obstante, hay que entender que un teléfono asignado en exclusiva a un trabajador sí que sería entendido como «dato personal». No lo sería, sin embargo, el teléfono de la centralita de una compañía.
Parra aclara otro supuesto: qué ocurriría si en esos grupos de WhatsApp hay personas de fuera de la empresa y los trabajadores de la misma no tienen constancia de este hecho. «En el ámbito laboral -argumenta- existen multitud de posibilidades que pueden verse afectadas por la normativa de protección de datos. No obstante, si partimos siempre de una información completa y rigurosa hacia el trabajador sobre el uso de sus datos personales no debería haber ningún problema».
Tanto las empresas como las administraciones públicas tienen responsabilidad de sus actuaciones frente a la Agencia de Protección de datos. Pero, por curioso que parezca, las Administraciones públicas solo se enfrentan a un tipo de sanción, el apercibimiento, que no implica multa económica. Para las empresas, sin embargo, el Reglamento General de Protección de Datos prevé multas de hasta 20 millones de euros o el 4 % del volumen de negocio total anual del ejercicio financiero anterior.
En el caso de los particulares a los que también le sea de aplicación la normativa, las multas pueden llegar hasta los 20 millones de euros.
Visto lo visto, toca tener cuidado, porque aunque en el ámbito doméstico la ley nos deja tranquilos, hay casos límite. Por ejemplo, si el coordinador de un grupo es un profesor, la Ley de Protección de Datos tiene mucho que decir.