Skip to content

¿Qué ha pasado con la AEPD y el consentimiento del RGPD? A cargo de Pablo García-Girón Pérez 

AD 19/2023

¿Qué ha pasado con la AEPD y el consentimiento del RGPD?

Resumen

El artículo tiene por objeto el estudio de la resolución de la Agencia Española de Protección de Datos (AEPD) que resuelve el expediente sancionador EXP202105690, de 9 de enero, en lo relativo a la gestión del consentimiento para ingresar contactos en grupos de Whatsapp en el ámbito de las relaciones laborales.

En el apartado I. Introducción, se establece el contexto que da sentido a la proposición del tema objeto de este artículo, en referencia a los criterios que la AEPD ha manifestado a la hora de la gestión del consentimiento.

En el apartado II. El consentimiento en el RGPD, el autor realiza un breve recordatorio sobre cómo regula la legislación vigente en materia de protección de datos que es necesario gestionar las obligaciones relativas al consentimiento de los afectados por el tratamiento de datos personales. Además, se hace una comparativa con la legislación anterior, ya derogada, para enfatizar el cambio de filosofía respecto del nuevo RGPD.

En el apartado III. Confusión ante la resolución EXP202105690 AEPD, el autor profundiza en la problemática surgida tras la publicación de la resolución sancionadora de la AEPD.

En el apartado IV. Conclusiones, se establecen algunos aspectos que el autor considera reseñables del análisis llevado a cabo a lo largo del artículo.

En el apartado V. Referencias, se pueden consultar las referencias legales y jurisprudenciales consultadas para la elaboración del presente artículo.

 Abstract

The purpose of the article is to study the resolution of the Spanish Data Protection Agency (AEPD) that resolves the sanctioning file EXP202105690 in relation to the management of consent to enter contacts in Whatsapp groups in the field of labour relations.

In section I. Introduction, the context that gives meaning to the proposal of the subject matter of this article is established, in reference to the criteria that the AEPD has expressed when it comes to the management of consent.

In section II. Consent in the GDPR, the author provides a brief reminder of how current data protection legislation considers it necessary to manage the obligations relating to the consent of personal data subjects to the processing of data. In addition, a comparison is made with the previous legislation, now repealed, to emphasise the change in philosophy with respect to the new GDPR.

In section III. Confusion in the face of resolution EXP202105690 AEPD, the author delves into the problems that arose after the publication of the AEPD’s sanctioning resolution.

In section IV. Conclusions, the author establishes some aspects that he considers noteworthy from the analysis carried out throughout the article.

Section V. References contains the legal and jurisprudential references consulted for the preparation of this article.

 Palabras clave

Consentimiento, protección de datos, privacidad, RGPD, Whatsapp, AEPD, transferencia internacional de datos, encargado del tratamiento, responsable del tratamiento, resolución sancionadora, archivo de actuaciones.

 Key words

Consent, data protection, privacy, GDPR, Whatsapp, AEPD, international data transfer, data processor, data controller, decision to impose penalties, termination of proceedings.

I.- Introducción

Hace unos meses, a partir de los días 9 y 10 de enero del presente año para ser exactos, hemos vivido una situación de cierta confusión producida por las últimas resoluciones de la Agencia Española de Protección de Datos (AEPD) al resolver sobre las obligaciones relativas a la gestión del consentimiento. Concretamente, el caso versaba sobre una situación cotidiana como es la creación e ingreso de contactos en un grupo de Whatsapp dentro del ámbito laboral.

Las aplicaciones de mensajería (Telegram, Whatsapp, etc) se han convertido en un apéndice fundamental de nuestros teléfonos móviles, y, por extensión, también de nuestro día a día por la facilidad, y aparente gratuidad, que nos ofrecen estos recursos a la hora de gestionar la comunicación con nuestros contactos con una cierta inmediatez. Una comunicación más directa y sencilla, si cabe, que las tradicionales llamadas telefónicas y mensajes de texto.

Sin embargo, estos mecanismos pueden entrañar un riesgo sobre los derechos y libertades de las personas, concretamente, sobre nuestro derecho a la privacidad y a la protección de datos de carácter personal.

De esta forma, no es extraño encontrar problemas de cumplimiento con la normativa, muchas veces por desconocimiento de la existencia de un tratamiento de datos personales, o de las obligaciones que el mismo conlleva. Esto se agrava si pensamos en lo cotidiano que resulta crear un grupo de Whatsapp con nuestros contactos más cercanos, en una apariencia de falsa inocuidad.

Es por ello que puede resultarle de utilidad al lector de este artículo el hecho de conocer y valorar la polémica producida con motivo de las últimas resoluciones de la AEPD (especialmente de la EXP202105690, pero también en interpretación con la EXP202205826 que contribuye al juego de la primera), entendiendo cuál ha sido el origen de la controversia y estudiando qué es lo que dice realmente la AEPD sobre la gestión del consentimiento, aplicado al caso concreto de los grupos de Whatsapp.

Asimismo, conviene no olvidar que el consentimiento es parte de una obligación mayor, la gestión de la licitud del tratamiento, que, a su vez, forma parte de un conjunto de obligaciones que abordan otros aspectos como puede ser el principio de responsabilidad activa del responsable del tratamiento. Ese conjunto de obligaciones se debe valorar antes de promover el uso de una aplicación de mensajería como Whatsapp.

II.- El consentimiento en el RGPD

La llegada del RGPD en el año 2016 supuso un torrente de artículos de opinión que valoraban el cambio de paradigma que suponía con respecto a la normativa anterior, a la hora de gestionar datos de carácter personal de ciudadanos europeos o de aquellas personas que se encuentran en territorio europeo. Aunque los cambios no eran tan dramáticos como en un principio se quiso vender, entre otros, la gestión del consentimiento del titular de los datos personales sí supuso uno de los aspectos que mayor impacto tuvo en las organizaciones que tratan datos personales.

Concretamente, pasamos de tener un sistema basado en una regla general (el consentimiento) con un conjunto relativamente extenso de excepciones, a otro donde encontramos diversas bases que permiten legitimar el tratamiento, y a las que podemos recurrir en condiciones de igualdad, salvando algunos matices que han ido desarrollándose con posterioridad por la interpretación que las autoridades de control han llevado a cabo sobre la normativa (por ejemplo, el consentimiento en relaciones de parte débil).

Así, si nos dirigimos y analizamos la regulación en la antigua LOPD, transposición de la Directiva 95/46, encontramos que el artículo 6 LOPD valoraba el consentimiento del titular de los datos, antiguo afectado, como la regla general para tratar datos personales. De esta forma, posteriormente, se listaban una serie de excepciones a la norma general (obligación legal, ejecución de un contrato, interés vital del interesado, misión en interés público, etc).

Actualmente tenemos que recurrir al artículo 6 del vigente RGPD donde se introduce el concepto de “licitud” del tratamiento, así como el listado de las bases legitimadoras del mismo. De tal forma, podemos entender que el consentimiento se ha integrado formalmente entre una serie de bases que se encuentran “a la misma altura”, es decir, no existe una base preeminente sobre el resto, más allá de que la AEPD haya ido definiendo directrices sobre el uso de las bases legitimadoras (por ejemplo, en su Guía de videovigilancia establece que la base más adecuada para el tratamiento de imágenes por cámaras de seguridad es el interés público).

Esta filosofía se reafirma cuando recordamos el artículo 7 de la anterior LOPD, donde se establecía la prohibición general sobre el tratamiento de los datos especialmente protegidos, ahora categorías especiales de datos, salvo que mediase el consentimiento previo del afectado.

En el caso en que queramos recurrir a la base de legitimación del consentimiento, el artículo 7 del RGPD establece los requisitos para su gestión. Concretamente, este artículo dice que el responsable del tratamiento debe poder ser capaz de poder demostrar que el titular de los datos ha consentido en el tratamiento de los mismos. Esta fórmula, un tanto oscura, tiene el interés de dejar la puerta abierta a cualquier mecanismo de obtención del consentimiento que pueda servir como evidencia para certificar que éste fue prestado. El cambio se produce al entender que el silencio del interesado, el consentimiento tácito, aquello de “mientras usted no me diga lo contrario, yo voy a entender que usted ha consentido”, ya no será válido.

Esta idea se reafirma en la LOPD-GDD, que en su exposición de motivos ya señala la idea de que el consentimiento debe proceder de una declaración o una clara acción afirmativa del afectado, especificando que el llamado “consentimiento tácito”, modelo del antiguo sistema de la LOPD y la Directiva de privacidad, ha quedado excluido como forma válida para recabar el consentimiento en el nuevo RGPD.

A todo esto, hay que sumarle la idea de “legislación de parte débil”, entendida como una característica inherente a aquellos cuerpos normativos donde, por la relación subyacente entre las partes que intervienen en el mismo, podemos entender que existe una “parte fuerte” y una “parte débil”, como ocurre, por ejemplo, en el Estatuto de los Trabajadores. En este sentido, el trabajador se viene entendiendo como la parte débil de la relación que mantiene con la empresa. Es por ello que hay una serie de pautas y principios que tienden a tratar de compensar esa relación, al entender que se encuentra desajustada por la naturaleza de ambos roles. Por ejemplo, cuando existan casos oscuros o ambiguos dentro de esta normativa, la interpretación que se haga por parte de los actores jurídicos debe realizarse en interés del trabajador, porque para eso es la parte débil de la relación.

Siguiendo esta filosofía, la AEPD llegó a la conclusión de que la base de legitimación del consentimiento no era la más ideal a la hora de recabar datos personales de los trabajadores, en el contexto de las finalidades que rigen la relación laboral. Es decir, en el ámbito laboral, la base que más se ajusta a la legitimación del tratamiento de los datos de trabajadores que realiza la empresa, dentro del contexto laboral, debe acercarse más al 6.1.b) del RGPD[1], el tratamiento es necesario para la ejecución de un contrato del que el interesado es parte, esto es, el contrato de trabajo.

A continuación, en el apartado III, veremos que esa interpretación puede generar problemas que acaben desprotegiendo a la llamada parte débil (como creo que ocurre en el caso que resuelve la AEPD).

 

III.- Confusión ante la resolución EXP202105690 AEPD

El principal motivo por el que se me ocurrió dedicar esta colaboración con A definitivas al caso que planteo sobre los criterios que define la AEPD a la hora de gestionar el consentimiento de un titular de datos personales, reside en el revuelo que se generó entre la Doctrina, ya sea a través de artículos dogmáticos o directamente por las propias redes sociales, al conocerse las conclusiones del expediente sancionador de marras. Probablemente, nunca un documento tan escueto (tan sólo cinco hojas de resolución), generaron tal ruido de fondo.

Primero de todo, vamos a relatar los hechos que motivaron el inicio de este expediente por parte de la AEPD. En 2021 un trabajador decide recurrir al amparo de la AEPD contra la empresa en la que trabaja, al ser incluido en dos grupos de la aplicación de mensajería Whatsapp junto a otros compañeros. La finalidad de este grupo consiste en mantener un contacto directo entre la empresa y los trabajadores para garantizar una comunicación fluida sobre temas diversos: cuestiones organizativas tales como las rutas de reparto, los turnos de las personas que van a realizar esas rutas, la ubicación de las furgonetas de reparto al terminar la jornada y comunicaciones corporativas.

El motivo que lleva a esta persona a recurrir al amparo de la Agencia reside en que la empresa ha decidido incluirle en estos grupos sin haber recogido previamente su consentimiento para tal fin. No sólo esto, el trabajador reclamante indica que no tiene oportunidad de abandonar estos grupos porque toda la información que necesita para desempeñar sus funciones profesionales se encuentra en los mismos.

Además, indica que todos los compañeros tienen acceso a la información mencionada de otros compañeros.

Respecto de las alegaciones de la empresa, la cual se hace la huidiza con los requerimientos iniciales de la AEPD, indica que informan expresamente a sus trabajadores de la utilización del Whatsapp como canal corporativo de comunicación con la finalidad de utilizarlo para cuestiones relativas al contrato de trabajo, condiciones laborales, organización y desarrollo de tareas del trabajo. En este sentido, la empresa indica que utiliza los datos relativos al nombre y apellidos, y número de teléfono para ingresar el contacto del trabajador en el grupo de Whatsapp.

Una vez analizadas las cuestiones cuasi protocolarias de este tipo de resoluciones, estatuto de la AEPD que determina su competencia para resolver las actuaciones, así como certificar la existencia de un tratamiento de datos personales, la AEPD procede a desarrollar su argumentación con la que concluirá con la procedencia del archivo de las actuaciones inspectoras. Para resolver la cuestión tomará como base los artículos 5 y 6.1 del RGPD donde se dirimen las cuestiones relativas a los principios del tratamiento y a las bases que legitiman los tratamientos de datos personales. ¿Cuáles son los motivos por los que la AEPD decide fallar en favor de la empresa reclamada, archivando, consecuentemente, las actuaciones inspectoras? Son las siguientes:

  1. En primer lugar, porque la base que legitima el tratamiento de los datos se encuentra en el artículo 6.1.b) del RGPD, la ejecución del contrato de trabajo.

 

  1. En segundo lugar, considera que se cumplen los principios de minimización de los datos, siendo estos adecuados, pertinentes y no excesivos en relación con la finalidad del tratamiento.

 

  1. En tercer lugar, porque entiende que el acceso a los datos no se produce por personas ajenas al grupo de trabajo, luego la confidencialidad de los mismos se está respetando.

Una vez se ha publicado la resolución, han surgido numerosos artículos y voces cuestionando esta argumentación de la AEPD, incluso, entendiendo que se estaban cambiando los criterios sobre la gestión del consentimiento del afectado por el tratamiento de datos. ¿Por qué se ha producido tanto revuelo? En mi opinión, por lo siguiente:

  1. En primer lugar, respecto de la base de legitimación, porque la redacción que se utiliza para plasmar la argumentación resulta un tanto confusa, ya que, primero, la AEPD parece querer indicar que cualquiera de las bases del 6.1 del RGPD puede legitimar el tratamiento al decir “La legitimación para el tratamiento de los datos personales puede encontrarse en cualquiera de los apartados señalados en el apartado 1 del artículo 6 RGPD…” para, posteriormente, recurrir a la base del 6.1.b), ejecución de un contrato de trabajo sin desarrollar en profundidad los argumentos que le llevan a considerar válida dicha base sobre otras posibles.

 

  1. En segundo lugar, porque la AEPD ha interiorizado mucho y bien el mantra de la legislación de parte débil en el que se enmarca el Estatuto de los Trabajadores. De ahí que desde hace unos años rechaza, más o menos tímidamente, parece que mucho menos a día de hoy, el recurso al consentimiento de los trabajadores para legitimar los tratamientos de datos personales en el ámbito laboral. Sin embargo, si obviamos la necesidad de estudiar el caso concreto para recurrir a la base más adecuada para legitimar el tratamiento, pueden producirse distorsiones como la que estamos observando. El hecho de amparar el tratamiento en el 6.1.b) implica considerar la aplicación Whatsapp, en su versión básica, ya que no se nos dice lo contrario en la resolución, como una herramienta corporativa perfectamente válida. Como veremos más adelante, esto es jurídicamente cuestionable.

 

  1. Sobre el respeto al principio de confidencialidad, sorprende que la AEPD no haya realizado más actuaciones inspectoras (porque recordemos que la empresa se hizo la loca ante los requerimientos iniciales de información de la AEPD) para investigar si, realmente, esos trabajadores deben poder acceder a toda la información que la empresa vuelca en los grupos sobre otros compañeros. A tenor del texto de la resolución, la AEPD lo considera suficiente.

 

  1. Adicional a lo anterior, me parece interesante señalar que el uso del Whatsapp supone aspectos problemáticos, o jurídicamente difíciles de encajar.

 

  • La aplicación de mensajería se encuentra tratando datos personales de los trabajadores, momento en que se viste con el disfraz de encargado del tratamiento. Sin embargo, el contrato previsto en los requisitos del artículo 28 del RGPD se ve sustituido por unas condiciones generales de contratación que difícilmente pueden habilitar mecanismos a los responsables del tratamiento para ejercer sus potestades inspectoras dada su condición, por ejemplo, la facultad de auditar a su encargado. No sólo esto, resulta complejo justificar que un responsable del tratamiento cumple con su principio de diligencia debida a la hora de escoger a sus encargados del tratamiento cuando la AEPD notifica con cierta asiduidad sus sanciones a empresas como Whatsapp o Facebook por incumplir la legislación europea de protección de datos[2].

 

  • Sobre la confidencialidad de los datos, no nos queda del todo claro, a pesar de que la aplicación de mensajería asegura que es así, que los datos no sean accesibles en claro, en algún momento, para Whatsapp. De esta forma, no se estaría protegiendo el principio de confidencialidad de los datos del artículo 5.1.f).

 

  • Otra cuestión polémica con las aplicaciones de mensajería instantánea radicadas en los Estados Unidos, como es Whatsapp, radica en que se acogen al fuero del territorio en que están radicadas, en este caso, los tribunales californianos. Esto genera dificultades a la hora de ejercer derechos o pretender ejecutar títulos judiciales o de resoluciones de la AEPD como la que estamos analizando.

Por si esto fuera poco, al día siguiente se publica una segunda resolución resolviendo Expediente EXP202205826 sobre un caso muy similar, la inclusión de los datos titularidad de una empleada de la limpieza en un grupo de Whatsapp sin previo aviso ni consentimiento, para el seguimiento de sus tareas diarias. En este caso, sin embargo, la AEPD en su FJ IV entiende que no consta acreditada la base de legitimación para el tratamiento de los datos de la reclamante, respecto del envío de su teléfono móvil a los miembros de la Comunidad de propietarios que, posteriormente, la incluyen en la aplicación de Whatsapp. La AEPD decide resolver el expediente imponiendo una multa a la parte reclamada por, entre otras infracciones, carecer de base de legitimación para tratar los datos.

Teniendo en cuenta todo lo anterior, así como las conclusiones, aparentemente contradictorias, de ambas resoluciones, la AEPD presentó aclaraciones sobre la cuestión a consulta realizada por el Delegado de Protección de Datos (DPD) de la empresa de consultoría Ozonia[3]. Las aclaraciones son las siguientes:

  1. En primer lugar, la AEPD advierte que el hecho de resolver un asunto en una resolución no implica que esté elaborando criterios generales aplicables a cualquier caso. Básicamente, viene a decir que los asuntos se deben conocer de forma casuística. Aunque la AEPD puede tener una cierta razón en esto que explica, es cierto que los casos prácticos pueden ser muy diferentes en su estudio, lo cierto es que ambas resoluciones estudian casos muy similares, por no decir idénticos. Hay un problema de fondo cuando la AEPD se lanza a presentar guías, orientaciones y criterios para-legales con espíritu legislador cuando, realmente, no es un órgano con esa potestad. La única autoridad de control que tiene capacidad para condicionar la aplicación de la ley es el Tribunal Constitucional cuando interpreta cómo no se debe aplicar la Ley, la función que algunos han venido en llamar “legislar en negativo”. Es por ello que, quizá, la AEPD deba replantear su acción informativa e interpretativa para, posteriormente, no tener que desdecirse sobre el calado que pueden llegar a tener sus decisiones como autoridad de control.

 

  1. En segundo lugar, la AEPD matiza su archivo de resoluciones explicando que, en aquellos casos en que el trabajador presta su actividad fuera del centro de trabajo, una medida más moderada e igual de eficaz para garantizar que cumple con sus funciones consiste en poner a su disposición un instrumento corporativo de comunicación, como un teléfono de empresa. Incluso, en estas aclaraciones, llega a afirmar que el uso del número personal del trabajador para crear grupos de Whatsapp excedería el mínimo de lo permitido por la base del 6.1.b) del RGPD. Este punto, tal y como está trasladado por parte del DPD de Ozonia, nos devuelve a la idea de la aplicación del principio de legislación de parte débil de forma general sin atender al caso concreto. Es bueno que potenciemos mecanismos para equilibrar relaciones desiguales, a eso se le llama equidad y es un principio fundamental para construir la justicia social (aquello del Estado Social y Democrático de Derecho), pero no podemos obviar el estudio casuístico si queremos evitar errores interpretativos que acaban generando indefensión en los propios trabajadores, como es el caso.

 

  1. En tercer lugar, se pone de manifiesto uno de los puntos fundamentales para resolver la cuestión: cuáles son los medios de comunicación corporativos, los que la empresa nos pone a disposición para realizar nuestras labores, y cuáles son medios privados del trabajador. En este sentido, la AEPD ampara el tratamiento de los datos referentes al correo electrónico y teléfono particular del trabajador siempre que su entrega tenga un carácter voluntario, o se realice previa recogida del consentimiento por parte de la empresa para el tratamiento de estos datos cuando estos medios son del trabajador. Si los medios que se ponen a nuestra disposición son corporativos, la empresa debe informar sobre el tratamiento de los datos que va a realizar, pero no tiene por qué solicitar nuestro consentimiento.

Especialmente relevante es el punto 3 de las aclaraciones que la AEPD ha realizado al compañero de Ozonia por cuanto supone la cuestión capital que la AEPD debiera haber tenido en cuenta en ambas resoluciones a la hora de resolver el caso. Una cuestión que deriva de los derechos digitales del artículo 87 de la LOPDGDD sobre el derecho que tiene el trabajador a la privacidad en los medios digitales que la empresa pone a su disposición para ejercer su actividad laboral. ¿Cuál es el problema que se ha generado en relación con esta cuestión? Que la AEPD no ha querido meterse con la parte de los derechos digitales de la LOPDGDD, dejando la cuestión en una excesiva ambigüedad que ha vuelto loca a parte de la Doctrina.

En el apartado de conclusiones desarrollaré las sensaciones que me han generado estos puntos en los que intento explicar el motivo de la polémica que gira en torno a la resolución de la AEPD, pero creo que podría concluir este capítulo con una frase a modo de cierre o resumen diciendo que esta resolución me ha dejado la sensación de oportunidad perdida por la AEPD.

 

IV.- Conclusiones

De acuerdo con lo analizado a lo largo del artículo, podemos extraer las siguientes conclusiones:

  1. En primer lugar, creo que la redacción de ambas resoluciones peca de cierta confusión y falta de claridad. Hay que realizar un ejercicio de interpretación sobre lo que la AEPD quiere decir que no debería ser tal a la hora de aplicar criterios legales en un procedimiento sancionador. Esto ha contribuido a generar más controversia de la que realmente debiera haberse generado en una cuestión relativamente sencilla de resolver. En este punto de conclusiones incluyo la cuestión sobre el “olvido” a la parte de los derechos digitales de la LOPDGDD que contiene la llave para resolver ambos procedimientos.
  2. Como complemento al punto 1., es fundamental el binomio que generan los conceptos de medios personales y medios corporativos cuando resolvemos cuestiones relativas al ámbito empresarial. Las obligaciones en uno y otro caso no serán las mismas o, como mínimo, pueden verse muy atenuadas.
  3. No podemos aplicar las bases de legitimación con base en criterios generales que aplicamos en otros órdenes jurisdiccionales, como es el social, que pueden no ser aplicables, o requerir de una matización, a toda la casuística que puede presentársenos en la realidad del día a día.
  4. Sorprende que la AEPD no haya llevado a cabo más actuaciones inspectoras ni profundizado en la cuestión del uso empresarial del Whatsapp en la resolución del EXP202105690.

V.- Recursos

Recursos jurídicos

  • Reglamento General de Protección de Datos. Reglamento 679/2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
  • Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales.
  • Antigua Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

Recursos jurisprudenciales

  • Resolución AEPD que resuelve Expediente Nº EXP202105690 de 9 de enero.
  • Resolución AEPD que resuelve Expediente Nº EXP202205826 de 10 de enero. Puede consultarse aquí.

[1] Así lo explica la AEPD en su Guía sobre La protección de datos en las relaciones laborales de 2021.

[2] Como puede comprobarse en el link de la noticia: La AEPD sanciona a WhatsApp y Facebook por ceder y tratar, respectivamente, datos personales sin consentimiento | AEPD

[3] Puede consultarse en la siguiente noticia: La AEPD aclara su polémica resolución sobre la inclusión de trabajadores en grupos de WhatsApp | E&J (economistjurist.es)

 


Pablo garcia giron perez
Pablo García-Girón Pérez 

Pablo García-Girón Pérez 

Licenciado en Derecho por la UAM y Máster en Derecho de las Telecomunicaciones y Tecnologías de la Información por la UC3M, ha desarrollado su carrera en el ámbito de la consultoría en nuevas tecnologías. 

Actualmente es abogado y consultor especializado en ciberseguridad y protección de datos.

Deja un comentario

A %d blogueros les gusta esto: