¿Te han metido en grupos de WhatsApp sin preguntarte, sin tu consentimiento? Según la Agencia Española de Protección de Datos esto podría ser motivo de sanción al responsable. Al menos, en lo que a empresas e instituciones se refiere.

Los grupos de WhatsApp se han convertido en una auténtica pesadilla para muchos. No paran de meternos en ellos para comentar tonterías o cosas que no nos interesan lo más mínimo. Una auténtica plaga de la que resulta complicado escapar. Y ojo, porque ahora hasta los ayuntamientos o los colegios lo han empezado a hacer.

Ya es hasta común que los ayuntamientos o los colegios creen grupos de WhatsApp para mandar comunicaciones. No hablamos de grupos organizados por los vecinos o los padres, hablamos de grupos hechos por las propias instituciones. Y eso es ilegal si no nos piden permiso claro y explícito para hacerlo, según la Agencia Española de Protección de Datos.

Tu ayuntamiento no puede meterte en grupos de WhatsApp

El caso viene directo desde Boecillo, un municipio de 4.000 habitantes situado en la región de Valladolid. Su Ayuntamiento, liderado por Mª Ángeles Rincón Bajo, decidió abrir un grupo en WhatsApp con 255 vecinos el pasado 10 de noviembre de 2016. Uno de los vecinos, al encontrarse dentro del grupo sin previo aviso, decidió denunciar a la Agencia Española de Protección de Datos.

La AEPD ya ha emitido su resolución, y en ella son claros: el número de teléfono es un dato personal, y el grupo de WhatsApp expuso el número de teléfono de cada vecino al resto. El Ayuntamiento, en el caso del denunciante, sólo tendría sus datos por dos llamadas y por trámites administrativos, «no estando autorizado a usar sus datos personales para ningún otro fin».

El ayuntamiento ha intentado defenderse presentando 37 escritos de vecinos asegurando que dieron su consentimiento verbal. Sin embargo, son 37 de 255 vecinos, y entre ellos no se encuentra el consentimiento del demandante. En otras palabras, el ayuntamiento no ha podido demostrar que el vecino denunciante diese su consentimiento.

La AEPD también ha rechazado que el ayuntamiento se acoja a un artículo que determina que la Ley Orgánica de Protección de Datos (LOPD) no se aplica a personas físicas realizando actividades personales.

De esta forma, la Agencia considera probado que el Ayuntamiento incumplió la LOPD con una «infracción grave». La primera falta es usar los datos sin consentimiento. Y la segunda falta es exponer los números de teléfono al resto de personas del grupo.

En declaraciones a El Confidencial, la alcaldesa de Boecillo asegura estar «analizando con nuestros servicios jurídicos nuestra respuesta». También ha insistido que existía consentimiento «tácito» y que se «trataba de un grupo doméstico». El Ayuntamiento no recibirá multa; se le amonesta y solicita rectificación inmediata.

Es necesario consentimiento explícito

De esta resolución podemos sacar varias conclusiones. La primera es que cualquier institución necesita nuestro permiso «previo e inequívoco». No sólo necesitan ese permiso; la resolución también aclara que los datos se deben usar únicamente para el propósito por el que fueron obtenidos. La institución debería volver a obtener los datos para usarlos con un nuevo propósito.

También conviene hacer una diferencia entre un grupo creado para asuntos personales y un grupo creado por una institución. En el primer caso no se aplica la LOPD. Pero, en el caso de que sea una institución o una empresa, crear un grupo de WhatsApp también conlleva respetar un marco legal. En este caso, tener la autorización de los afectados.

En caso de infracción, las consecuencias son considerables. La AEPD tiene en cuenta factores como la reincidencia y otras circunstancias especiales, pero la LOPD establece multas de entre 900 hasta 600.000 euros para los infractores, según El País. No es algo que se deba tomar a la ligera.

La Ley de Protección de Datos se endurece en 2018

Además, la protección sobre nuestros datos personales va a aumentar el año que viene. A partir del 25 de mayo del próximo año entrará en vigor una nueva legislación de protección de datos en toda la Unión Europea. Todos los países miembros deben cumplirla, e incluso España ya ha puesto en vigor las nuevas leyes, como podemos leer en Omicrono.

En Omicrono: España se adapta a la nueva Ley de Protección de Datos europea antes de tiempo

Todas las empresas e instituciones que tengan datos personales tienen hasta entonces para adaptarse al nuevo marco legal. Un periodo de adaptación de dos años que parecía más que suficiente, pero que parece poco ante la inacción de las empresas. Y se trata de una legislación más dura: desaparece el consentimiento tácito y se endurecen las sanciones.