La Agencia Española de Protección de Datos ha sancionado con 3.000 euros a una asociación de cazadores por una infracción del art. 5.1.f) RGPD y por otra infracción del art. 32 RGPD, ya que se hicieron públicos en un grupo de WhatsApp datos personales de la parte reclamante.
Primeramente, la Agencia Española de Protección de Datos, “dio traslado de dicha reclamación a la parte reclamada para que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos.”
El traslado, no fue recogido por el responsable, entendiéndose rechazado, conforme a lo previsto en el art. 43.2 de la LPACAP.
El día 28 de junio de 2022 se admitió a trámite la reclamación presentada por la reclamante, y con fecha 15 de julio de 2022, se acordó el inicio del procedimiento sancionador por parte de la AEPD a la parte reclamada, por la presunta infracción del art. 5.1.f) del RGPD y artículo 32 del RGPD, tipificadas en el artículo 83.5 y 83.4 del RGPD.
De las actuaciones de la AEPD, quedó probado que “los datos personales de la parte reclamante fueron indebidamente difundidos a terceros a través de una conversación de un grupo de WhatsApp creado por la Asociación” y que “se difundió por WhatsApp la conversación con la documentación que el socio nº XXX de la anterior directiva (…) remitió a la Asociación por la parte reclamante”.
La AEPD indica que a tenor del art. 5.1.f) del RGPD, “los datos personales de la parte reclamante, obrantes en la base de datos de la Asociación, fueron indebidamente difundidos a terceros a través de una conversación de un grupo de WhatsApp, vulnerándose el principio de confidencialidad; si bien, no consta si se ha producido o no la utilización ulterior, por parte de terceros, de la información personal de la parte reclamante”.
La AEPD determina que, en el caso que nos ocupa, se ha producido una brecha de seguridad y que “no consta que la Asociación dispusiese de medidas de seguridad razonables en función de los posibles riesgos estimados” y que “el grupo de WhatsApp de la Asociación debe limitarse únicamente a difundir la información necesaria para el cumplimiento de los fines de la asociación”.
Por todo lo mencionado anteriormente, la AEPD, en la resolución del procedimiento sancionador PS-00353-2022 considera la existencia de una infracción del art. 83.5 y 83.4 RGPD, en relación con el 72.1. a) y 73 g) LOPDGDD, por la difusión por WhatsApp de datos personales sin garantizar la confidencialidad, integridad y disponibilidad de los sistemas y servicios del tratamiento. Se acordó imponer una multa de 2.000 € por la primera infracción y de 1.000 € por la segunda, lo que arroja un total de 3.000 € .
En definitiva, aquellos asociaciones y empresas que no cumplan con los principios de confidencialidad e integridad, así como con la correcta utilización de canales de mensajería instantánea, como WhatsApp; deben saber que es altamente probable que la AEPD les sancione ante cualquier denuncia, si bien, pueden evitarlo contratando los servicios de técnicos y especialistas jurídicos en la materia, como Unive Abogados, con amplia experiencia en adaptación de empresas privadas a la normativa de protección de datos.