Recientemente un Ayuntamiento ha sido sancionado por tolerar que uno de sus trabajadores enviase una sentencia por WhatsApp. Ha sido la Agencia Española de Protección de Datos (en adelante, AEPD) la encargada de sancionar al Ayuntamiento en el seno del procedimiento núm. 144/2021, como consecuencia de que sus trabajadores enviaran por WhatsApp una sentencia en la que venían incluidos datos de carácter personal de uno de sus funcionarios.
La conducta del Ayuntamiento es constitutiva de un comportamiento que debe ser sancionado, conforme al Reglamento (UE) 2016/679 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y particularmente de acuerdo con los artículos 32.1 y 5.1.f) del citado Reglamento.
El procedimiento se inició cuando el trabajador reclamó al Ayuntamiento, como consecuencia de que una compañera de profesión había enviado por WhatsApp la sentencia sin eliminar los datos de carácter personal a un grupo de compañeros.
A pesar de que la sentencia es reciente, el asunto proviene del 2019, específicamente el procedimiento se inició en diciembre de ese mismo año cuando el trabajador interpuso una reclamación ante la AEPD, contra el Ayuntamiento.
Con el fin de que el procedimiento continuara, la Subdirección General de Inspección de Datos realizó las actuaciones pertinentes para averiguar si los hechos podían ser o no susceptibles de represalias legales. Posteriormente, en 2021, es cuando se ha conocido la decisión de la sentencia.
Uno de los principios que viola la funcionaria con sus actuaciones es el del deber de confidencialidad, puesto que se envían públicamente por WhatsApp los datos personales de los trabajadores sin que éstos estuvieran censurados.
Este deber de confidencialidad también conocido como deber de secreto, tiene una finalidad clara, la de impedir que se filtren datos de carácter personal y es que se trata de una normativa de obligado cumplimiento.
Además de vulnerar el artículo 5.1. f) del mencionado Reglamento, los hechos también violan su artículo 32, por afectar de forma directa a la seguridad de los datos personales, lo cual supone que también los terceros puedan acceder a estos datos, sin más necesidad que la de abrir el archivo que les enviaron desde la aplicación de mensajería instantánea “WhatsApp”. El Ayuntamiento, además de incumplir la obligación, también lleva a cabo una omisión, por no responder a lo sucedido.
En cuanto a las consecuencias de esta acción, y de conformidad con el artículo 77 del mencionado Reglamento, al Ayuntamiento no se le ha sancionado con ninguna multa y es que le corresponde un apercibimiento.
En consecuencia, el Ayuntamiento ha infringido los artículos 32.1 y 5.1. f) del Reglamento y será sancionado por apercibimiento en tanto en cuanto cometió dos infracciones por transmitir los datos personales por WhatsApp de otros funcionarios que trabajaban en el mismo órgano público.
Por último, hemos de señalar que el artículo 58.2 del Reglamento señala que las acciones que ejecute deberán de ajustarse a la normativa comunitaria, debiendo informar a la Agencia Española de Protección de Datos en el plazo máximo de un mes.
Autor: Pablo Álvarez, abogado en LABE Abogados
