Es frecuente detectar en algunas entidades el uso de la aplicación WhatsApp como un instrumento de comunicación profesional: entre los miembros de la propia entidad, de la entidad con sus clientes/usuarios/asociados, con colaboradores, proveedores, etc. Uno de los usos que se suelen observar es la creación de grupos para alcanzar un mayor grado de interacción entre los miembros del grupo y una comunicación más ágil.

Cuando realizamos un uso profesional de esta aplicación no nos paramos a pensar que estamos realizando un tratamiento de datos para el que no hemos solicitado el consentimiento de los interesados.

Siguiendo con el ejemplo de la creación de grupos, sirve de referencia la resolución R/03041/2017, de la Agencia Española de Protección de Datos, publicada el 20 de noviembre de 2017, de declaración de infracción grave a una administración pública. Entre los hechos denunciados, y por los que se declaró infracción grave, estaba la inclusión en un grupo de WhatsApp (creado por un cargo del Ayuntamiento, con la finalidad de facilitar información municipal) de los números de teléfono de varios vecinos de un municipio.

En el momento en que creamos un grupo, estamos compartiendo entre los miembros de dicho grupo un dato de carácter personal, como es el número de teléfono. Es decir, estamos cediendo a terceros un dato de carácter personal, que seguramente hemos obtenido para otra finalidad, y para lo que no hemos informado adecuadamente ni obtenido el debido consentimiento. Conforme a la Ley aún en vigor (Ley Orgánica 15/1999 de protección de datos) estamos vulnerando, por un lado, el art. 4.2 de dicha Ley, al utilizar un dato para una finalidad distinta para la cual se ha recabado (en este caso la comunicación a terceros) y, por otro lado, el art. 10 de la Ley, esto es, el deber de secreto.

Si estas vulneraciones las trasladamos al Reglamento Europeo de Protección de Datos (RGPD), estaríamos incumpliendo dos de los principios relativos al tratamiento, como es el de la licitud (art. 5 y 6), puesto que se han utilizado datos para una finalidad distinta a aquella para la que fueron recogidos y no se ha obtenido el consentimiento para la nueva finalidad (que es esa comunicación a terceros), así como la confidencialidad.

Sin embargo, no es lo único que debemos tener en cuenta cuando decidimos utilizar WhatsApp dentro del ámbito profesional. La reciente sanción por parte de la Agencia Española de Protección de Datos a WhatsApp y Facebook por cesión y tratamiento de datos sin consentimiento, evidencia que esta aplicación, a día de hoy, no es una herramienta adecuada para el tratamiento de datos en un entorno profesional, puesto que no se ajusta a lo exigido por nuestra normativa española en materia de protección de datos ni a lo exigido en el RGPD. En concreto, respecto a WhatsApp, la infracción se centra en la cesión de datos a Facebook sin un consentimiento libre y, por lo tanto, válido. En algunos casos se evidencia, incluso, la falta de consentimiento.Con este caso no estamos ante una infracción que podamos cometer donde, como responsables del tratamiento, no hemos informado adecuadamente ni hemos solicitado el consentimiento pertinente.

En este caso estaríamos ante la elección de uso de una herramienta para el tratamiento de datos de carácter personal, de los que somos responsables, que no cumple con la normativa de protección de datos y que, por lo tanto, no debe estar entre nuestros soportes para dicho tratamiento de datos.