Multa de 4.000 euros por agregar a una antigua clienta a un grupo de WhatsApp: no protegieron sus datos personales ni tenían su consentimiento
La Agencia Española de Protección de Datos (AEPD) ha multado a un club deportivo de Córdoba con 4.000 euros por agregar a una antigua socia a un grupo de WhatsApp con fines comerciales sin su permiso, diez años después de que la relación entre ambos hubiese finalizado y sin garantizar la confidencialidad de su información personal, según recoge la sentencia de este caso. En total, el organismo público ha encontrado culpable a la empresa de cuatro infracciones sancionadas con 1.000 euros cada una.
Y la multa podría haber sido aún mayor, puesto que la AEPD especifica en el texto que por infracciones de este tipo la sanción puede alcanzar los 20 millones de euros o la cuantía equivalente al 4% del volumen de negocio anual si se trata de una empresa. No obstante, la agencia ha considerado en este caso que se trata de una “acción negligente no intencional”, motivo por el que la cuantía final ha sido menor.
La primera de las infracciones en las que incurrió la entidad deportiva sancionada fue conservar los datos personales de la denunciante durante diez años después de que la mujer hubiese dejado de ser clienta. La ley especifica que la información personal recabada por una empresa no se mantendrá por más tiempo del necesario para los fines por los que han sido recogida, ni será usada con propósitos distintos.
Es decir, si la persona facilitó sus datos para el registro como socia, con el fin de poder acceder a las instalaciones deportivas, esa información debería haber sido eliminada cuando dejó de ser clienta y, en ningún caso, se puede usar para tratar de captarla de nuevo.
La segunda de las infracciones tiene que ver con el consentimiento. La empresa sancionada usó el número de teléfono de la afectada, que se considera dato personal, sin conseguir su autorización para hacerle llegar información comercial, lo que también va en contra de la ley, que especifica que el tratamiento sólo será lícito si el interesado dio su permiso para el tratamiento de sus datos personales para ese fin o fines específicos.
Además, al incluir el número de teléfono de la afectada en un grupo con más personas, el club deportivo no garantizó la confidencialidad de la denunciante, un hecho que supone dos infracciones más.
El caso habría sido muy distinto si, en lugar de a un grupo con fines comerciales, la afectada hubiese sido agregada a un chat colectivo personal, es decir, de amigos o familiares. En este caso, la ley especifica que “el reglamento no se aplica al tratamiento de datos personales efectuado por una persona física en el ejercicio de actividades exclusivamente personales o domésticas”.