Números de teléfono, whatsapp y RGPD
Categorías: Agencia Proteccion Datos / Normativa / Protección de Datos / Resoluciones
Sirva la presente entrada como una recopilación de resoluciones que, en la actualidad, ha dictado la AEPD con referencia al tratamiento del número de telefono (que sigue siendo un dato de carácter personal, que no nos quepa duda, sobre todo si es el personal ;)). Como siempre hemos comentado, cada caso es un mundo, puede tener una peculiariedad que de como resultado resoluciones que pueden considerarse contradictorias. De todos modos no está demás conocer la posición de la AEPD al respecto y que luego cada uno tome sus propias decisiones (esa dura labor del DPO que debe dar una respuesta a priori lo más clara y concisa posible a la consulta o situación que se le está planteando. O por lo menos que sepa analizar los riesgos y trasmitírselo a quien corresponda).
¿Podemos incluir a un trabajador/a en un grupo de whatsapp para fines de seguimiento laboral?
Esta pregunta que, a priori, podría resultar sencilla de responder de forma afirmativa o negativa y prácticamente en todos los casos igual recibe resoluciones por parte de la AEPD en los 2 sentidos:
- Sí, tras la última resolución de la AEPD, entiende que la empresa se encuentra legitimidada para el tratamiento de dicho dato personal (número de teléfono). Para ello la empresa creó dos grupos de whatsapp, en el que se incluyó a la parte reclamante sin su consentimiento. En los grupos se publican datos relativos a las rutas de reparto, las personas que la realizan, las horas, la ubicación de las furgonetas al terminar la jornada laboral y diversa información laboral. Todos los integrantes de los grupos tienen acceso a esta información de los demás compañeros. La AEPD entiende que la empresa cuenta con legitimación clara para tratar los datos en base al contrato de trabajo: La legitimación para el tratamiento de los datos personales puede encontrarse en cualquiera de los apartados señalados en el apartado 1 del artículo 6 del RGPD referenciado. En el ámbito de las relaciones laborales, el tratamiento de los datos personales se basa jurídicamente, de forma principal, en la ejecución del contrato de trabajo, aunque ciertos datos también podrán tratarse para cumplir las exigencias impuestas por la ley o por un convenio colectivo. Pero, ojo, en esta breve resolución no se entra a valorar nada más sobre el propio uso de la herramienta, el contrato de encargado de tratamiento con la responsable de la misma, las posibles transferencias de datos que se pudieran dar, etc. simplemente se decide en base a la legitimación del tratamiento por parte de la empresa.
- No, en una resolución anterior de la propia AEPD entiende que se vulnera la normativa de protección de datos si se comunica su número de móvil a miembros de la Comunidad de Propietarios donde presta sus servicios, para ser incluida en un grupo de whatsapp cuyo objeto es el seguimiento de su actividad laboral. En este caso, la AEPD entiende que no hay causa de legitimación alguna para ese tratamiento de datos: No consta acreditada base de legitimación alguna para el tratamiento de los datos de la reclamante, en relación con el número de telefonía móvil, que fue comunicado a miembros de la Comunidad de Propietarios donde prestaba sus servicios, para ser incluida en un grupo de whatsapp.
Entonces ¿Donde radica la diferencia para 2 resoluciones aparentemente contradictorias?. Sin poder valorar por la escasa argumentación de las resoluciones, podemos diferir que la diferente configuración del responsable de tratamiento, una empresa (entidad) y una comunidad de vecinos (pluralidad de miembros con acceso a dichos datos), puede ser la causante de la disparidad de criterio en el asunto. Asimismo que difiera quien es el empleador y en donde se presta el servicio (comunidad de propietarios) puede llegar a darnos más información al respecto. Sin embargo, siendo la finalidad del tratamiento la misma, seguimiento de la actividad laboral, la causa de legitimación debiera ser interpretada de la misma manera. O necesidad del consentimiento (que pudiera estar viciado por la situación laboral), o ejecución del contrato laboral, pero jugar al gato de Schrödinger, a la ruleta rusa, al si o no, es un alto riesgo para todo DPO.
Para otro momento dejaremos otra resolución interesante de la AEPD en referencia al tratamiento del número de telefono, en este caso implantar un doble sistema de verificación (seguridad) donde entiende que no existe causa de legitimación para que se pueda solicitar dicho dato al personal.
Tiempos extraños estos en la interpretación de la legitimación o no para el tratamiento de datos personales en el ámbito laboral.