El Ayuntamiento de Tiana (Barcelona) ha sido sancionado por la Autoridad Catalana de Protección de Datos (APDCAT) por crear un grupo de WhatsApp de 'desconocidos', en el que añadió a sus vecinos, con su consentimiento previo, e incluso les advirtió cómo serían tratados sus datos personales. En esta ocasión, a diferencia de lo que ha sucedido otras veces, la multa por vulneración de la privacidad no se impone por no advertir de que se les iba a incluir en el canal, algo que hizo con rigor el ayuntamiento, y sí por no implementar las suficientes garantías de confidencialidad que evitasen acceder a datos como el teléfono, la foto y el nombre y el apellido.

En julio de 2021, los responsables del ayuntamiento crearon el grupo de WhatsApp denominado 'Noticias Tiana' con el fin de comunicar a los ciudadanos información institucional y de su interés. Este canal llegó a tener hasta 257 personas incluidas, pero el consistorio solo cumplía en parte lo previsto en el artículo 13 del RGPD y sólo informaba a través del mensaje que contenía el enlace para unirse al grupo sobre el responsable del tratamiento de datos y cómo contactar con él, así como sobre la finalidad de este tratamiento -artículo 13.1.c RGPD-.

Pero el principal error fue "no implantar medidas técnicas y organizativas adecuadas para aplicar de forma efectiva el principio de confidencialidad. En concreto, no se garantizaba que las personas que se unieron al grupo de WhatsApp creado por el Ayuntamiento, no pudieran acceder al número de móvil, foto de perfil y nombre de usuario del resto de miembros", destaca el expediente sancionador de la APDCAT en los hechos probados de una investigación propiciada por un vecino del municipio -ver aquí-.

La entidad municipal aseguró que era consciente de que creó un grupo de WhatsApp sin tener en cuenta una medida de seguridad para evitar que los datos de las personas que participaran fueran accesibles para el resto de los participantes. Sin embargo, aseguraba que no podían prevenir que las personas que se unieron al grupo de WhatsApp no pudieran acceder al número de móvil, foto de perfil y nombre de usuario del resto de miembros, "dado que cualquier usuario de la Plataforma WhatsApp ya sabe que este hecho ocurrirá en el momento que accede a una lista de distribución".

La directora la APDCAT corrige en el expediente sancionador esta consideración, "ya que el Ayuntamiento de Tiana no creó una lista de difusión o distribución -que facilita información de forma unidireccional- como indicaba en su escrito de alegaciones, sino un grupo en el que va limitar quien podía enviar mensajes y quien podía editar la información del grupo (sólo lo podían hacer los administradores del grupo)". Finalmente, se condena al ayuntamiento -que puede recurrir- por ser responsable de dos infracciones: una infracción prevista en el artículo 83.5.b) en relación con el artículo 13; y otra infracción prevista en el artículo 83.4.a) en relación con el artículo 25.1; todos ellos del RGPD.

Este consistorio barcelonés ya tuvo un conflicto con Protección de Datos de Cataluña, en aquella ocasión, la APDCAT incoó un procedimiento sancionador contra los responsables del ayuntamiento por un presunto caso de vulneración de la Ley de Protección de Datos (LOPD). La investigación se inició en el 2015 a partir también de la denuncia de un vecino por la supuesta filtración al Partido de los Socialistas de Cataluña (PSC) de direcciones de correo electrónico de otros vecinos poco antes de las elecciones municipales celebradas en mayo de ese año.

A partir de la resolución más reciente, administraciones, instituciones o empresas deberán más cuidado a la hora de incluir en grupos de redes a personas desconocidas entre sí, por muy conscientes que sean de los riesgos de confidencialidad existentes y de que se pueden vulnerar derechos de los ciudadanos. En diciembre de 2017, la Agencia Española de Protección de Datos (AEPD) resolvía que las administraciones y los organismos públicos que incluyesen números de teléfono en grupos de WhatsApp sin el consentimiento expreso del titular de la línea estarían violando la Ley de Protección de Datos (LOPD). La decisión fue tomada después de que un vecino del municipio vallisoletano de Boecillo, denunciara al ayuntamiento por incluirlo en un chat sin su permiso. Protección de Datos aclaraba entonces que su resolución no afectaba a particulares que agreguen a familiares y amigos en un grupo.

El pasado octubre, la AEPD imponía multas por valor de 4.000 euros a un club deportivo de la capital cordobesa por añadir a una exsocia a un grupo de la aplicación WhatsApp "sin requerirle su consentimiento". La Agencia de Protección de Datos consideró que el reclamado había tratado datos personales de la reclamante -número de teléfono móvil- sin su consentimiento, contraviniendo con ello el artículo 6 del RGPD, y que pese a no ser cliente desde hace más de diez años, aún conservaban sus datos personales, vulnerándose el artículo 5.1 e) del RGPD, dado que en dicho precepto se establece que los datos no podrán conservarse más que el tiempo necesario para la finalidad para la que fueron tomados, y en este caso hacía diez años que no era cliente.

Además, apunta que "facilitar el número de teléfono móvil de la reclamante a terceros, al incluirle en un grupo de WhatsApp, supone una vulneración de su confidencialidad, como consecuencia de unas medidas de seguridad del reclamado que no son adecuadas a la normativa de protección de datos, suponiendo los hechos dos infracciones más al contravenir los artículos 32.1 b) y 32.1 d) del RGPD, respectivamente". En la resolución, la Agencia indica que "esta infracción puede ser sancionada con multa de 20 millones de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía, de acuerdo con el artículo 83.5 del RGPD".