La Agencia Española de Protección de Datos (“AEPD”) ha sancionado a LVMH una empresa por vulnerar el principio de licitud del tratamiento, al incluir sin base legal el número personal de una trabajadora en un grupo de WhatsApp de uso interno y vulneración del artículo 6.1 RGPD (Exp. 202310848)
Antecedentes
- Durante la relación laboral, la empleada fue requerida por la empresa a utilizar su teléfono móvil personal como herramienta de trabajo a la espera de que se le pudiera facilitar el dispositivo corporativo correspondiente, del que sí disponían otros compañeros incorporados con posterioridad.
- Antes de iniciar su periodo vacacional, la trabajadora manifestó de forma expresa su decisión de cesar en el uso de su número personal para fines laborales, y anunció que abandonaría los grupos de mensajería interna (WhatsApp) una vez finalizara su jornada.
- La empresa alegó que el uso de dispositivos personales respondía a una situación excepcional y transitoria derivada de la indisponibilidad puntual de dispositivos corporativos y que la práctica se encontraba circunscrita a un entorno cerrado, sin acceso de terceros, limitada al tratamiento de datos identificativos mínimos como nombre, número de teléfono y mensajes funcionales vinculados a tareas internas.
Infracción cometida
La AEPD calificó la conducta como infracción muy grave del artículo 6.1 del RGPD, que consagra el principio de licitud del tratamiento.
Este artículo establece que un tratamiento de datos personales únicamente será lícito si se fundamenta en alguna de las bases enumeradas: consentimiento del interesado, ejecución de un contrato, cumplimiento de una obligación legal, protección de intereses vitales, interés público o interés legítimo prevalente. Estas bases deben definirse con carácter previo, resultar aplicables al caso concreto y quedar debidamente documentadas, conforme al principio de responsabilidad proactiva (art. 5.2 RGPD).
En este caso, la AEPD consideró acreditado que la empresa realizó un tratamiento ilícito, al incorporar el número personal de la trabajadora en un grupo de mensajería sin:
- Contar con un consentimiento válido, libre, específico e informado;
- Aportar justificación sobre la existencia de una base alternativa, como la ejecución contractual o un interés legítimo prevalente;
- Y además, habiendo mediado una oposición expresa, lo que excluye cualquier forma de consentimiento tácito.
La AEPD recordó que el carácter limitado del tratamiento (nombre y número de teléfono) no elimina su ilicitud, ya que el RGPD protege cualquier dato identificativo que sea tratado sin base legal.
Además, la AEPD valoró como elemento agravante la inexistencia de alternativas organizativas que hubieran permitido evitar el tratamiento ilícito. La sociedad pudo haber excluido temporalmente a la trabajadora del canal de mensajería o habilitado otros mecanismos compatibles con la protección de datos, pero optó por mantener el uso del canal sin su consentimiento, exponiendo a la empleada a un tratamiento no autorizado.
Sanciones aplicables
La AEPD impuso inicialmente una sanción de 70.000 euros, que se redujo a 42.000 euros tras el reconocimiento de responsabilidad y el pago voluntario, en aplicación del artículo 85 de la Ley 39/2015, de Procedimiento Administrativo Común de las Administraciones Públicas.
Además, la Agencia exigió a LVMH Iberia acreditar, en el plazo de un mes, la adopción de medidas organizativas adecuadas para garantizar la licitud de los tratamientos efectuados en el marco del uso de grupos de mensajería, conforme a lo previsto en el artículo 58.2.d) del RGPD.
