Un trabajador denuncia ante la AEPD que la empresa le remite datos personales de clientes mediante mensajes de WhatsApp a su teléfono particular, sin su autorización y fuera del horario laboral. Aporta que, en reiteradas ocasiones, manifiesta su oposición al uso de su dispositivo privado como herramienta de trabajo.

Incluso tras la extinción de la relación laboral, la empresa le realiza una consulta contable por el mismo medio.
La empresa alega que el uso de WhatsApp es una práctica extendida y consentida por sus trabajadores desde hace años, pero no presenta prueba alguna que respalde dicha afirmación.

La AEPD califica la conducta como una negligencia grave, tanto por los hechos sucedidos durante la vigencia del contrato laboral como por aquellos acaecidos con posterioridad. Basa su decisión en los siguientes fundamentos:

En primer lugar, recuerda que el tratamiento de datos personales sólo es lícito si se sustenta en alguna de las bases jurídicas establecidas por el Reglamento General de Protección de Datos (RGPD), como el consentimiento del interesado o la necesidad del tratamiento para ejecutar un contrato (art. 6.1 RGPD). Una vez extinguido el vínculo laboral, ya no existe contrato alguno que justifique el tratamiento, y la empresa no acredita haber obtenido el consentimiento del extrabajador.

En segundo lugar, con independencia de la franja horaria en la que se produzca el envío de datos y del consentimiento, la empresa, como responsable del tratamiento, debe implementar medidas técnicas y organizativas adecuadas para proteger la información personal. No obstante, remite datos de clientes al teléfono personal del trabajador, sin garantizar la seguridad ni la confidencialidad exigidas (art. 32 RGPD).

Como consecuencia, la AEPD impone una multa de 2.500 euros por ausencia de consentimiento y otra de igual cuantía por no aplicar medidas de seguridad adecuadas.
Asimismo, requiere a la empresa a que, en un plazo máximo de tres meses, adopte las acciones necesarias para evitar contactar a extrabajadores sin su consentimiento, y para implementar sistemas que garanticen que los datos personales de los clientes no sean enviados a dispositivos privados sin el cumplimiento de la normativa de protección de datos.

Resolución AEPD, Procedimiento Sancionador PS/00303/2023