La nueva LOPD tiene muchas novedades que se adaptan a los tiempos actuales. Una de ellas se da en el momento en que añadimos a terceros a un ClickDatos. ¿Sabías que necesitabas su consentimiento expreso para hacerlo? Si te preguntas el por qué, a continuación, te lo explicamos.
El origen del consentimiento expreso para los grupos de Whatsapp
El origen del consentimiento expreso para que podamos añadir a una persona a un grupo de Whatsapp viene de un caso que fue publicado sobre un restaurante chino de Murcia. Este negocio tuvo que disculparse por añadir a todos sus clientes a un grupo de este tipo para anunciar que iban a cambiar de teléfono. El RGPD y la LOPDGDD no consienten esta clase de prácticas.
La intención del restaurante fue simplemente facilitar a sus clientes que pudieran seguir haciendo sus pedidos. Sin embargo, a efectos prácticos, estaban haciendo un amplio tratamiento con cientos de datos de los clientes sin mantener medidas de control, de consentimiento expreso, de seguridad o de privacidad.
La noticia se hizo viral, ya que se hicieron hasta cinco grupos, algunos miembros se salieron y les volvieron a meter, y en un grupo tan amplio se pudieron ver toda clase de mensajes. Se había vulnerado la protección de datos, y eso enfureció a un gran número de clientes. Para entender el por qué, debemos responder antes a otras cuestiones.
Qué aspectos incluye el consentimiento expreso
El tratamiento de los datos personales de los clientes de cualquier empresa siempre debe iniciarse con la recabación de un consentimiento expreso de los interesados. Solo así se pueden tratar los datos, es decir, usarlos y conservarlos, y siempre con una finalidad concreta.
El consentimiento expreso debe cumplir, además, con una serie de características. En primer lugar, debe ser libre, es decir, no haber una condición. Asimismo, debe especificarse claramente para qué se obtienen los datos o, dicho de otra manera, debe ser específico.
En cuanto a la información a los interesados, deberán comunicarse los derechos que tienen, la finalidad del uso de sus datos y el nombre del responsable del tratamiento. Por último, debe ser inequívoco. Los requisitos del consentimiento se recogen en el artículo 4.11 del RGPD. Este también da lugar a cuatro condiciones importantes.
Demostración
Una de las razones por las que el consentimiento debe cumplir los requisitos anteriormente mencionados es que la LOPD establece que el responsable del tratamiento deberá ser capaz de demostrar que el cliente dio dicho consentimiento y que este cumplía con todas sus características punto por punto.
Distinción
Otro importante aspecto es que la distinción implica que el consentimiento expreso del interesado se dé en el contexto de una declaración por escrito.
Revocación
La revocación del consentimiento es la capacidad que tiene el interesado para retirar su consentimiento cuando lo desee. Esto nos lleva a mencionar los derechos ARCO de los usuarios (acceso, rectificación, cancelación y oposición).
Libertad
Este punto consiste en el estudio de si el consentimiento ha sido libre. Debemos tener en cuenta si la ejecución de un contrato está condicionada por el consentimiento del tratamiento de datos que sean innecesarios para dicha ejecución. Solo se deberán pedir los datos mínimos necesarios. Además, la explicación sobre el tratamiento de datos deberá ser fácil de entender para un ciudadano medio, de fácil acceso y estar bien diferenciados de otros asuntos.
La finalidad del consentimiento
El consentimiento no se puede utilizar para finalidades distintas a las que se hayan especificado al recabarlo. En la noticia que te hemos contado al principio, no tenemos manera de saber siquiera si existió el consentimiento expreso para el tratamiento de datos personales.
No obstante, incluso en el caso de que lo hubiera, deberían haber consentido también a la recepción de mensajes publicitarios antes de que el restaurante les enviara la comunicación. Cabe añadir que nadie está obligado a consentir este aspecto en ningún caso, ya que no es necesario para la ejecución de ningún contrato de servicios.
La vulneración de los derechos al añadir a terceros a un grupo de Whatsapp
Hasta ahora te hemos estado explicando, a través de un ejemplo, la importancia de obtener el consentimiento para tratar los datos personales de los interesados en un negocio. Al respecto, no es posible dar ningún tipo de respuestas sobre si se ha incumplido o no la legislación de cada punto de la LOPDGDD, pues al establecer esta unos principios generales, tendríamos que estudiar cada caso concreto.
Incluso, podríamos tener que esperar a una inspección de la AEPD (Agencia Española de Protección de Datos) en la que se esclarezcan todas las medidas que se tomaron a la hora de obtener los datos personales y si se ha cumplido estrictamente la finalidad que se mencionó. Sin embargo, sí podemos especificar los problemas al crear grupos de Whatsapp para el envío de mensajes masivos.
Al crear grupos de Whatsapp para enviar mensajes masivos, se están difundiendo los datos personales de terceros. Cualquier miembro podría acceder al número de teléfono de otro y puede que incluso al nombre y apellidos de algunos de los miembros. Es el mismo problema que ocurre cuando se envían cadenas de correos electrónicos sin cifrar la información.
Por tanto, esta práctica constituye una infracción del RGPD y de la nueva LOPDGDD. Asimismo, ya ha sido varias veces sancionada por la Agencia Española de Protección de Datos, que se basa en el artículo 5 de la LOPDGDD. En este artículo se exige a aquellos que tratan con datos de terceros, que guarden al respecto un estricto secreto profesional y evitar la difusión de información personal de terceras personas.
No debemos olvidar que un número de teléfono no deja de ser un dato personal que nos permite identificar a otra persona sin tener siquiera que realizar grandes esfuerzos. Por tanto, al añadir a una persona a un grupo de Whatsapp sin su consentimiento, estamos vulnerando el deber de secreto. Aunque hoy en día, en teoría, todos los grupos están «cerrados», esto no nos exime de responsabilidad, pues debemos evitar filtraciones de datos no consentidas.
