Un taller mete en un grupo de Whatsapp a un cliente que les contactó: el hombre les denuncia y ahora tienen que pagar una multa de 3.000 euros

La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción a un taller que infringió el artículo 6.1 del Reglamento General de Protección de Datos (RGPD), por lo que han resuelto multarle con 3.000 euros. La empresa ha sido acusada de incluir sin consentimiento a 151 personas en un grupo de WhatsApp, lo cual permitió que los participantes visualizasen los datos personales del resto de los integrantes del grupo.

El procedimiento sancionador contra Ilurobox S.L. surgió a raíz de una denuncia presentada ante la Agencia Española de Protección de Datos (AEPD) el 1 de marzo de 2023. La reclamación vino por parte de uno de los integrantes de este grupo, que tenía el objetivo de enviar comunicaciones. La parte reclamante afirmó no haber otorgado en ningún momento su autorización para formar parte de dicho grupo ni para recibir mensajes de carácter comercial.

Durante la investigación, se aportaron capturas de pantalla como prueba. Entre ellas, destacaron conversaciones en el grupo, donde varios participantes expresaban su sorpresa por haber sido añadidos sin previo aviso ni consentimiento. Estas evidencias respaldaron la afirmación de que la creación del grupo se realizó sin consultar a los involucrados. Además, el número de teléfono que administraba el grupo coincidía con el proporcionado en la página web oficial del taller, lo que confirmaba su vinculación con la empresa.

Otro elemento clave fue la interacción previa entre el reclamante y el contacto identificado como responsable del grupo. Aunque existió una conversación relacionada con la compraventa de unas llantas de vehículo, no se dedujo de ella ningún consentimiento explícito para recibir comunicaciones posteriores ni para ser añadido al grupo de mensajería.

El artículo 6.1 del RGPD

La Agencia Española de Protección de Datos (AEPD) fundamentó su resolución basándose en diversas normativas aplicables al tratamiento de datos personales, destacando la competencia que le otorgan tanto el Reglamento General de Protección de Datos (RGPD) como la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

De acuerdo con el artículo 58.2 del RGPD, las autoridades de control nacionales tienen la potestad de investigar, corregir y sancionar las infracciones relacionadas con la protección de datos. La Directora de la AEPD, en virtud de los artículos 47, 48.1 y 68.1 de la LOPDGDD, asumió la responsabilidad de iniciar y resolver este procedimiento sancionador.

El artículo 63.2 de la LOPDGDD establece que los procedimientos de la AEPD deben regirse por el RGPD y la normativa española en materia de protección de datos, así como por las normas generales de procedimiento administrativo cuando no exista contradicción. Esto confiere una sólida base legal para la tramitación y resolución del caso.

El núcleo de la infracción se encuentra en el artículo 6.1 del RGPD, que regula las condiciones de licitud en el tratamiento de datos personales. Este artículo estipula que el tratamiento será lícito solo si se cumple al menos una de las siguientes bases legales:

• Consentimiento explícito del interesado.
• Necesidad del tratamiento para la ejecución de un contrato.
• Cumplimiento de una obligación legal.
• Protección de intereses vitales.
• Ejecución de una misión en interés público o ejercicio de poderes públicos.
• Satisfacción de intereses legítimos del responsable o de un tercero, siempre que no prevalezcan los derechos del interesado.

En este caso, la AEPD concluyó que la creación del grupo de WhatsApp, donde se compartieron datos personales de sus participantes (como números de teléfono y fotos de perfil), carecía de una base legal que la legitimara. No se había obtenido el consentimiento previo y explícito de los involucrados, ni existían otras circunstancias que justificaran el tratamiento.

La AEPD calificó la acción como una infracción muy grave, según lo dispuesto en el artículo 83.5 del RGPD y el artículo 72 de la LOPDGDD. Esta categoría contempla sanciones administrativas significativas, como multas de hasta 20 millones de euros o el 4% del volumen de negocio anual global, optándose por el criterio más elevado.

En este caso concreto, la sanción económica se fijó en 3.000 euros, tomando en cuenta la naturaleza, la gravedad y el alcance de la infracción, así como el número de afectados. Se destacó que los participantes del grupo pudieron visualizar datos personales de otros miembros, lo que agravaba el impacto del tratamiento ilícito.

Además de la sanción económica, la AEPD requirió a la empresa adoptar medidas técnicas y organizativas para garantizar que, en el futuro, no se formen grupos de mensajería sin el consentimiento de sus integrantes. Estas medidas buscan prevenir vulneraciones similares y asegurar el cumplimiento del artículo 58.2 del RGPD, que faculta a las autoridades de control para ordenar acciones correctivas.