La Agencia Española de Protección de Datos (AEPD) sancionó a una gestoría con 5.000 euros después de que uno de sus trabajadores la denunciara por haber recibido en su WhatsApp personal información de clientes, sin su autorización y fuera del horario laboral. El empleado les había manifestado en varias ocasiones que rechazaba usar su teléfono privado como herramienta de trabajo.
El trabajador les puso la reclamación el 11 de agosto de 2023 y se fundamentaba en el uso reiterado de su número personal de teléfono y su cuenta de WhatsApp como vía de comunicación para tratar cuestiones laborales, especialmente para enviarle datos personales de clientes. Una práctica que se repitió en el tiempo a pesar de que él les había indicado que no estaba conforme y les había solicitado que no usaran canales personales para tratar cosas del trabajo.
En su reclamación, este empleado aportó distintos documentos como correos electrónicos, imágenes de conversaciones y capturas de pantalla que evidenciaban el envío de archivos PDF con datos identificativos de clientes. De hecho, esta situación se mantuvo incluso después de que la relación laboral entre el trabajador y la empresa finalizase. Así lo recogen desde Prodat, una organización especializada en el ámbito de protección de datos de carácter personal, que ha explicado esta resolución.
La empresa alegó que WhatsApp era una herramienta habitual de trabajo
En su defensa, la empresa, en sus alegaciones, trató de justificar el uso del WhatsApp personal de sus trabajadores argumentando que era una herramienta habitual en la empresa desde hacía décadas, que los empleados aceptaban voluntariamente esta vía por su rapidez y comodidad y que la comunicación no se había producido fuera del horario laboral, por lo que no se había vulnerado el derecho a la desconexión digital del trabajador que denunció.
También alegaron que este empleado había utilizado su número personal para tratar cuestiones laborales, iniciando el mismo la conversación, lo que entendían era una aceptación tácita.
La AEPD sanciona a la empresa con 5.000 euros
La Agencia Española de Protección de Datos rechazó las alegaciones de la empresa y estableció que se habían producido dos infracciones. Por un lado, una infracción del artículo 6.1 del Reglamento General de Protección de Datos (RGPD), porque no existía el consentimiento explícito del trabajador para usar su teléfono personal, sobre todo cuando este había manifestado su rechazo de forma clara y reiterada.
Además, la empresa siguió comunicándose con él a través de esta vía cuando había terminado la relación laboral, por lo que no tenían base legal para seguir tratando sus datos. Por otro lado, también constataron una vulneración del artículo 32 del RGDP, ya que la empresa, como responsable del tratamiento, debe implementar medidas técnicas y organizativas adecuadas para proteger la información personal, sin importar la franja horaria en la que envíe las notificaciones, y esto no lo hizo.
Por cada una de estas infracciones, sancionaron a la empresa con 2.500 euros (5.000 euros en total), además de que esta en un plazo de tres meses debía adoptar las medidas necesarias para evitar contactar a extrabajadores sin su consentimiento, así como implementar sistemas que garanticen que los datos personales de los clientes no son enviados a dispositivos privados sin el cumplimiento de la normativa de protección de datos.
