- “La legitimación es esencial para el correcto Tratamiento de Datos Personales, pero no debemos olvidar que no es el único punto sobre el que debe recaer nuestra atención en este caso; la divulgación de los datos personales de interesados de forma masiva también es sancionable por la Agencia Española de Protección de Datos”.
Un restaurante chino pide disculpas tras incluir a sus clientes en grupos de Whatsapp para enviarles información. Pero ¿Qué tiene que decir al respecto la Ley de Protección de Datos?
Hoy hacemos pública esta noticia para seguir con nuestra explicación de la actualidad legislativa relativa a las modificaciones establecidas por el RGPD y la LOPDGDD, y es que un restaurante chino de Murcia ha pedido disculpas recientemente tras incluir a cientos de clientes en varios grupos de Whatsapp para comunicarles que cambiaba de teléfono.
Este restaurante, que tras una avería en el teléfono fijo decidió cambiar de número e "inocentemente" lo comunicó a sus clientes a través del móvil, con el fin de "facilitarles a todos que pudieran hacer los pedidos", ha dejado entrever el tratamiento de cientos de datos personales de contacto de clientes que el restaurante estaba realizando, y las inexistentes medidas de obtención de consentimiento expreso, control, seguridad y privacidad que mantienen.
La noticia ha comenzado a hacerse viral tras la cómica situación vivida por algunos de los miembros de los hasta CINCO grupos de Whatsapp creados para la ocasión. Algunos de ellos llegaron incluso a ser reincorporados tras haber decidido abandonar el grupo, dando lugar a la inundación de las redes sociales con capturas de mensajes de dichos grupos en los que se pueden leer todo tipo de comentarios.
Y es que esta iniciativa del restaurante ha sido tomada de distinta forma por sus clientes, que, en los propios grupos de Whatsapp, han hecho comentarios tales como "¿cómo tenéis mi número?", enfurecidos al considerar que se había vulnerado la Ley de Protección de Datos.
Y efectivamente, esa es la pregunta que queremos lanzar ¿Se han vulnerado los Derechos relativos a la Protección de Datos personales de los involucrados?
Para ello tendríamos que responder previamente a otras cuestiones como el primer requisito para el tratamiento de los datos personales, la obtención del consentimiento expreso del interesado.
¿Hubo consentimiento expreso?
El tratamiento debió iniciarse con la obtención del consentimiento expreso de los clientes (Interesados) para que el restaurante (Responsable del Tratamiento) pueda tratar (conservar y utilizar para un fin determinado) los datos personales de estos.
Este consentimiento debe cumplir con las siguientes características: ser libre, no debe haber ninguna condición para obtener el consentimiento del interesado; debe ser específico, explicando cada finalidad de porque se recaban los datos; informado, comunicando el nombre del Responsable del Tratamiento de los datos, la finalidad y los derechos de los interesados; e inequívoco, no puede dar lugar a error, el interesado tiene que estar seguro de saber para qué está prestando exactamente su consentimiento al Responsable.
Estos requisitos quedan recogidos como uno de los principios de la Protección de Datos en el artículo 4.11 del RGPD, así como la obligatoriedad del cumplimiento de estas 4 condiciones en la obtención del mismo:
1. Demostración: el responsable del tratamiento debe ser capaz de demostrar que el interesado consintió el tratamiento de sus datos personales;
2. Distinción: si el consentimiento del interesado se da en el contexto de una declaración escrita que también se refiera a otros asuntos, la solicitud de consentimiento se presentará de forma que:
3. Revocación: el interesado deberá poder retirar el consentimiento en cualquier momento, lo cual debe ser tan fácil como haberlo prestado.
4. Libertad: al evaluar si el consentimiento se ha dado libremente, se tendrá en cuenta el hecho de si, entre otras cosas, en la ejecución de un contrato, incluida la prestación de un servicio, se supedita al consentimiento al tratamiento de datos personales que no son necesarios para la ejecución de dicho contrato (solo se pedirán los datos mínimos que realmente sean necesarios para la finalidad por la que han sido solicitados).
-
a. Se distinga claramente de los demás asuntos.
b. Sea inteligible y de fácil acceso.
c. Utilice un lenguaje claro y sencillo.
-
¿Puedo usar el consentimiento recogido para más de una finalidad?
La respuesta es clara, No!
Y es que no sabemos siquiera si hubo consentimiento expreso para el tratamiento de los datos personales de los incluidos en aquellos grupos de Whatsapp, pero en el caso de que lo hubiera, debían haber sabido precisar y en consecuencia obtener el consentimiento expreso también para la recepción de estos mensajes publicitarios.
En este sentido, es cierto que en el supuesto de que se recabe el consentimiento para varias finalidades sería posible agruparlas en virtud de su vinculación, como por ejemplo para la recepción de publicidad propia o de terceros.
Pero sin duda deberán diferenciarse con claridad cuando los tratamientos impliquen conductas distintas, por ejemplo, el tratamiento por quien recaba los datos y la cesión a terceros o el tratamiento por quien recaba los datos y la recepción de publicidad.
Por lo que llegando a la pregunta final
¿Se han vulnerado los derechos relativos a la protección de datos personales de los involucrados?
En este artículo nos hemos centrado en un primer punto necesario, que es la obtención del consentimiento expreso para el tratamiento de los datos personales de contacto de los interesados.
A este respecto, no podemos dar una respuesta concreta de si se ha incumplido la legislación vigente en materia de Protección de Datos, ni de cuántos puntos se infringen de dichos cuerpos legales, el RGPD y de la LOPD-GDD, hasta una posible inspección por parte de la Agencia Española de Protección de Datos donde se esclarezcan las medidas tomadas para la obtención de los citados datos personales y las finalidades de estos.
No obstante, si podemos dar una respuesta firme en relación a un punto que supone otro grave incumplimiento, como es la divulgación de los datos personales masivamente al crear grupos de Whatsapp en los que cualquiera de los miembros podía acceder a los números de teléfono y posiblemente nombres algunos de los interesados, lo cual, al igual que ocurre con las cadenas de mailing, se trata de una infracción flagrante de la normativa de Protección de Datos reiteradamente sancionada con anterioridad por la Agencia Española de Protección de Datos en tanto a vulnerar el artículo 5 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales exige a quienes manejan datos ajenos guardar el secreto profesional de los mismos.
Y es que no olvidemos que el número de teléfono es un dato personal que permite la identificación del interesado sin un esfuerzo desproporcionado, por lo que se está vulnerando el deber de secreto, que obliga a evitar filtraciones no consentidas, y aunque ahora "ya están cerrados todos los grupos" ello no exime de la responsabilidad, veremos si la AEPD investiga al respecto y vuelve a sancionar por este o más motivos.
“La legitimación es esencial para el correcto Tratamiento de Datos Personales, pero no debemos olvidar que no es el único punto sobre el que debe recaer nuestra atención en este caso; la divulgación de los datos personales de interesados de forma masiva también es sancionable por la Agencia Española de Protección de Datos”.
Un restaurante chino pide disculpas tras incluir a sus clientes en grupos de Whatsapp para enviarles información. Pero ¿Qué tiene que decir al respecto la Ley de Protección de Datos?
Fuente: www.legaltoday.com
Autor: Jose Alejandro Maniviesa Alegría,