La parte reclamante manifiesta que trabaja en una empresa de seguridad. Los miembros de dicha empresa tienen formado un grupo en la aplicación de WhatsApp, entre los que se encuentra el reclamante. Indica que realizó un servicio concreto en la garita de seguridad de la empresa, lugar donde se encuentran las cámaras de videovigilancia y que su jefe, solicitó que se subiera a dicho grupo de WhatsApp, el vídeo en el momento en el cual, saltó una alarma de una cámara de seguridad de una vivienda.
El vídeo fue subido por otro trabajador. En dicho vídeo aparece la imagen de la parte reclamante durante su jornada laboral.
Reclama Considera que no se le ha pedido consentimiento para tal difusión y que el vídeo fue difundido con el propósito de vejarle ante el resto de los trabajadores integrantes del grupo de WhatsApp del trabajo.
LA AEPD señala que hay que analizar si el tratamiento de datos personales llevado a cabo a través de su difusión en un grupo de WhatsApp es acorde con lo establecido en el RGPD.
Así, la imagen física de una persona es un dato personal y su protección, por tanto, es objeto de dicho Reglamento, entendiendo por dato de carácter personal: “toda información sobre una persona física identificada o identificable”.
Se considera persona física identificable aquella cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.
El RGPD define «encargado del tratamiento» o «encargado» como la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento; Y «responsable del tratamiento» o «responsable» es la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento.
En el presente caso, la Comunidad de propietarios ostenta la condición de “responsable del tratamiento” (art. 4.7 RGPD), encomendando a la empresa de seguridad, como encargado del tratamiento, la prestación del servicio de seguridad: vigilancia y protección de la Urbanización.
Los hechos estudiados suponen la falta de medidas técnicas y organizativas al enviar datos de carácter personal (imágenes) de la parte reclamante a un grupo de personas sin garantías adecuadas a través de una conocida aplicación de mensajería con la consiguiente falta de diligencia, permitiendo el acceso a dichos datos.
Los trabajadores de Grupo de Seguridad y Control Global que prestan servicios en la urbanización, se comunican a través de un grupo de WhatsApp para compartir archivos e información relevante para el servicio, a través de un circuito cerrado de banda privada por walkies profesionales.
Como quiera que el uso de la citada aplicación de mensajería es habitual para la comunicación y el envío de documentos e imágenes, debe tenerse en cuenta a quien se envían los mensajes cuando en los mismos se incluyan datos personales, dado que debe existir una justificación para enviar datos personales a los miembros de un grupo de WhatsApp.
En este caso concreto no se entra a valorar la utilización del medio, es decir, la aplicación de mensajería instantánea, sino el envío de determinada información con datos personales a un grupo de personas.
Y si además la finalidad era la de informar a la Guardia Civil de la situación y cumplir con su obligación profesional de colaboración con las Fuerzas y Cuerpos de Seguridad, no era necesario enviar las imágenes a través de un grupo, sino sencillamente pasárselas al jefe de seguridad y éste a las Fuerzas y Cuerpos de Seguridad del Estado.
Entiende la Agencia que la responsabilidad del reclamado viene determinada por la falta de medidas de seguridad, ya que es responsable de tomar decisiones destinadas a implementar de manera efectiva las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo para asegurar la confidencialidad de los datos, restaurando su disponibilidad e impedir el acceso a los mismos en caso de incidente físico o técnico, reduciendo el número de trabajadores con acceso a la información personal, de modo que no se produzcan accesos no necesarios o excesivos por parte de los trabajadores, así como que se evite la reproducción o el reenvío injustificado de los datos personales.
En conclusión, la AEPD considera que existen evidencias suficientes respecto de la ausencia de medidas de seguridad adecuadas, por lo que impone sanción por infracción del art. 5.1 f) RGPD, respecto a la vulneración del principio de confidencialidad y por infracción del art. 32 RGPD, respecto a la seguridad del tratamiento de los datos personales.
Resolución AEPD, PS-00494-2022
Ley de Vivienda
El despido nulo. Infografía
Desde Espacio Asesoría no disponemos de un servicio gratuito de asesoramiento, por lo que su comentario solo podrá ser respondido por otros lectores.
Si necesita una respuesta profesional, le recomendamos realice su pregunta desde el siguiente enlace, desde donde podrá establecer un contacto privado con un abogado.
Tu comentario ha sido enviado para ser revisado antes de ser publicado.