3.000€ de multa por meter a clientes en un grupo de WhatsApp sin su consentimiento

La AEPD ha sancionado a una empresa por meter a clientes en un grupo de WhatsApp sin recabar su autorización incumpliendo el RGPD

Un día te levantas y estás en un grupo de WhatsApp con otros 150 clientes de un taller en el que adquiriste las llantas de tu coche. La empresa aprovecha este canal para enviar anuncios. Puedes ver el número de teléfono, nombre, foto de perfil y estado de todos los participantes y ellos la misma información sobre ti.

Puede parecer una cuestión baladí, pero no lo es. Meter a clientes en un grupo de WhatsApp vulnera la normativa de protección de datos y puede costarle miles de euros a una empresa.

A nadie se le escapa que WhatsApp se ha convertido en una de las aplicaciones más usadas e importantes de nuestros móviles. Por ello, muchos negocios han apostado en los últimos años por emplear WhatsApp para enviar mensajes a sus clientes.

Esta medida es legítima… si se cuenta con el consentimiento expreso del cliente y se cumplen la Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) y el Reglamento General de Protección de Datos (RGPD).

El problema surge cuando se vulneran estas normas y los clientes presentan reclamaciones ante la Agencia Española de Protección de Datos (AEPD), el organismo que vela por la protección de datos en nuestro país y tiene la potestad de imponer multas.

Número de teléfono, nombre, foto de perfil… Información personal al descubierto

El ejemplo con el que iniciamos este artículo no es imaginario, sino que se trata de un caso real en el que un taller decidió meter a clientes en un grupo de WhatsApp para informarles sobre sus productos. Esta decisión ha terminado con la imposición, por parte de la AEPD, de una sanción de 3.000 euros a un taller por infringir el artículo 6.1. del RGPD.

El caso se originó cuando uno de los clientes añadidos al grupo de WhatsApp presentó una reclamación ante la AEPD alegando que:

• No había autorizado el envío de comunicaciones comerciales.
• Estaba dentro de un grupo de WhatsApp con otras 150 personas y eran visibles los números de teléfono y otra información de índole personal.
• Otras personas también mostraron su estupefacción por haber sido incluidas en el grupo de WhatsApp.

Para demostrar sus reclamaciones, el consumidor hizo múltiples capturas de pantalla tanto del grupo de WhatsApp como de la conversación previa que había mantenido con el negocio a través de esta aplicación.

¿Por qué vulnera la protección de datos meter a clientes en un grupo de WhatsApp? El número de teléfono, el alias, que generalmente es el nombre de la persona o su foto de perfil (en la que habitualmente se ve su cara) son datos personales y, por lo tanto, están protegidos por el artículo 4 del RGPD sobre «toda información sobre una persona física identificada o identificable».

Es decir, al meter a clientes en un grupo de WhatsApp, el negocio abrió las puertas a que las 150 personas incluidas pudiesen identificarse las unas a las otras. Por ende, realizó un tratamiento ilícito de datos personales.

Ausencia de consentimiento por parte de los participantes

El otro elemento central por el que meter a clientes en un grupo de WhatsApp puede infringir el RGPD es la existencia o no de consentimiento.

En el caso analizado por la AEPD, el negocio no pudo demostrar que los clientes habían aceptado ser incluidos en un grupo de WhatsApp para recibir información de índole comercial.

De hecho, no solo el consumidor que reclamó estaba sorprendido y disgustado con esta medida, sino que las capturas de pantalla demostraron que otros clientes estaban igual de sorprendidos, lo que evidenciaba que desconocían totalmente la medida y, por ende, no habían prestado consentimiento alguno.

Igualmente, la conversación previa mantenida entre el consumidor y el negocio evidenciaba que, en ningún momento, el taller había informado al cliente sobre su inclusión en un grupo de WhatsApp.

Por todo ello, la AEPD estimó que la empresa llevó a cabo un tratamiento ilícito de datos personales que infringe el artículo 6.1. del RGPD.

¿Por qué meter a clientes en un grupo de WhatsApp infringe el RGPD?

Según el artículo 6.1. de la principal norma europea sobre protección de datos personales, para que un tratamiento de datos sea lícito y acorde a la normativa debe cumplirse alguna de las siguientes condiciones:

1. La persona dio su consentimiento para el tratamiento de sus datos personales para un fin específico.
2. El tratamiento de datos es indispensable para la ejecución de un contrato o la puesta en marcha de medidas precontractuales.
3. El tratamiento es necesario para que el responsable del mismo cumpla una obligación legal.
4. Se debe realizar el tratamiento de datos para salvaguardar intereses vitales de las personas.
5. Ha de llevarse a cabo el tratamiento para cumplir una misión de interés público.
6. El tratamiento es necesario para cumplir «intereses legítimos» del responsable del tratamiento. Siempre y cuando no prevalezcan sobre estos intereses los derechos y libertades de las personas que requieran protección de datos.

Según la AEPD, meter a clientes en un grupo de WhatsApp es una medida que no cumple ninguna de estas seis condiciones. Por ende, la agencia decidió:

1. Imponer una sanción de 3.000 euros al taller, teniendo en cuenta la gravedad de los datos expuestos.
2. Ordenar a la empresa a implementar, en el plazo de dos meses, medidas para:
   • Impedir que el negocio pueda meter a clientes en un grupo de WhatsApp sin su consentimiento.
   • Evitar que mediante un grupo en una aplicación de mensajería instantánea se revelen datos personales de los participantes.
   • Eliminar cualquier grupo de mensajería en el que haya participantes que no han prestado su consentimiento.

Usar un software de gestión para asegurarse de que se recaba el consentimiento para enviar comunicaciones comerciales

La resolución de la AEPD evidencia que es posible meter a clientes en un grupo de WhatsApp, pero para ello es imprescindible obtener el consentimiento expreso de todas las personas que se desee incluir. Y dicho consentimiento debe prestarse para el fin específico de enviar comunicaciones comerciales mediante un grupo en una aplicación de mensajería instantánea.

¿Cómo se puede cumplir con esta obligación legal de una manera fácil y sencilla? Empleando un software de gestión que permita:

• Crear una plantilla predefinida para diseñar y enviar el documento de consentimiento del tratamiento de datos de la empresa. El software de gestión automatiza la incorporación de datos personales de los clientes.
• Disponer de una casilla en las fichas de clientes en las que se visualice de manera gráfica si han prestado su consentimiento o si aún no.
• Enviar el documento de tratamiento de datos personales a los clientes a través de un enlace mediante un WhatsApp o un email, o mostrándolo en una tablet. De tal manera que en un par de clics cada cliente pueda leer el documento y dar su autorización expresa.
• Controlar en una sola pantalla cuántos clientes no han firmado aún el tratamiento de sus datos personales.
• Establecer recordatorios para evitar olvidarse de recabar el consentimiento de algún cliente.

Alternativas legítimas a meter a clientes en un grupo de WhatsApp para enviarles mensajes comerciales

Además, un software de gestión es la herramienta perfecta para poder comunicarse de una forma ágil y sencilla con los consumidores sin tener que meter a clientes en un grupo de WhatsApp. ¿Por qué? Esta clase de soluciones permite a las empresas:

• Crear campañas comerciales personalizadas para informar a varios clientes a la vez.
• Enviar emails y WhatsApps en bloque a múltiples clientes.
• Programar el envío de comunicación por email o WhatsApp.
• Centralizar todo el intercambio de comunicaciones con los clientes.
• Almacenar en las fichas de los clientes todos los mensajes que se les han enviado.

De esta forma, un negocio puede sacarle partido a WhatsApp para informar a los consumidores o enviarles ofertas comerciales sin tener que meter a clientes en un grupo de WhatsApp. Una medida a la que, además, la mayoría de personas son reacias, por lo que recabar su autorización es una misión enormemente difícil.

No todo son multas millonarias, las pymes también son objeto de sanciones de la AEPD

Resulta evidente que no acapara la misma atención mediática una multa de 3.000 euros a un taller por meter a clientes en un grupo de WhatsApp que sanciones millonarias a algunas de las compañías más grandes de España como Caixabank, Endesa o Telefónica.

Así, aunque las mayores multas de protección de datos en España en 2024 han protagonizado los titulares, todas las empresas deben ser conscientes de que la AEPD impone un goteo continuo de sanciones a negocios de todos los tamaños y sectores.

Clínicas médicas, academias de formación, despachos de abogados, aseguradoras, comercios, empresas de servicios… Ningún negocio está a salvo de las multas por protección de datos. Esto es así porque, hoy en día, todas las empresas están digitalizadas en mayor o menor medida y almacenan y utilizan datos personales de sus clientes.

De hecho, en el ámbito de la comunicación con clientes se ha extendido el uso de WhatsApp para informarlos sobre cuestiones relacionadas con los productos y servicios que han contratado, enviarles recordatorios de citas, presentarles novedades o hacerles llegar ofertas exclusivas. ¿Deben las empresas renunciar a trabajar con WhatsApp como canal de comunicación? No, pero están obligadas a respetar de manera escrupulosa la normativa de protección de datos si no quieren encontrarse con multas que se lleven por delante su beneficio operativo del año.