Resolución de la Agencia Española de Protección de Datos A-00163-2018 de 18 de julio de 2018

Cuestión

1 / 14

Procedimiento Nº: A/00163/2018

RESOLUCIÓN: R/01018/2018

En el procedimiento A/00163/2018, instruido por la Agencia Española de

Protección de Datos a Don A.A.A. , vista la denuncia presentada por Dña. B.B.B. y en

virtud de los siguientes,

ANTECEDENTES

PRIMERO : Con...

Contestacion

1/14

Procedimiento Nº: A/00163/2018

RESOLUCIÓN: R/01018/2018

En el procedimiento A/00163/2018, instruido por la Agencia Española de

Protección de Datos a Don A.A.A., vista la denuncia presentada por Dña. B.B.B. y en

virtud de los siguientes,

ANTECEDENTES

PRIMERO: Con fecha 30 de diciembre de 2017 tienen entrada en esta Agencia dos

escritos presentados por Dña. B.B.B. (en lo sucesivo, la denunciante) en los que

manifiesta que, sin mediar su autorización para ello, ha sido incluida en un grupo de

Whatsapp denominado ?C.C.C.?, que se creó a las 08:48 horas del día 30 de

diciembre de 2017 desde el número de teléfono móvil ***TLF.1, con el que no

mantiene ninguna relación.

La denunciante, ha aportado, entre otra, la siguiente documentación junto con sus

escritos de denuncia y la documentación complementaria que presentó con fecha

23 de enero de 2018:

- Relación que muestra los números de teléfono móvil de cada uno los

integrantes del grupo, el contenido de los mensajes enviados por éstos

entre el 30 de diciembre de 2017 y el 20 de enero de 2018 y las fechas

de salida de los miembros del grupo. Se comprueba que algunos de los

mensajes se refieren a que, al parecer, el grupo está formado por

administradores de fincas o personas relacionadas con dicho sector.

- Captura de pantalla de su teléfono móvil, donde aparece el número de

teléfono del administrador del grupo ***TLF.1 asociado al nombre de

A.A.A.

SEGUNDO: Tras la recepción de la denuncia la Subdirección General de Inspección

de Datos procedió a la realización de actuaciones previas de investigación para el

esclarecimiento de los hechos denunciados, teniendo conocimiento de los siguientes

extremos:

2.1La entidad Vodafone España, SAU ha informado con fecha 21 de febrero de

2018 que Dña. B.B.B., en adelante B.B.B., es titular de la línea ***TLF.1

2.2 Con fecha 5 de marzo de 2018, se remite escrito de requerimiento de

información a B.B.B. que resulta devuelto por el servicio de Correos, motivo

por el cual con fecha 27 de marzo de 2018 se intenta contactar vía telefónica

con la titular de la línea ***TLF.1. Fruto de ese contacto se mantiene una

conversación telefónica con quien se identifica como A.A.A. y afirma ser

esposo de la titular de la citada línea y usuario de dicho teléfono. Informado

de la devolución del envío certificado proporciona una dirección de correo

electrónico para la remisión del requerimiento de información. Con

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

2/14

posterioridad dicha persona realiza una llamada telefónica desde esa línea de

teléfono comunicando que es trabajador de la empresa ?C.C.C.?.

2.3 La empresa C.C.C. Madrid, S.L. presta servicios de limpieza, control de

acceso y mantenimiento.

2.4 Con fechas 4 y 9 de abril de 2018, se reciben en esta Agencia dos correos

electrónicos en los que Don A.A.A. (en adelante A.A.A. o el denunciado)

informa de lo que sigue:

- Que es el usuario del móvil ***TLF.1, aunque la titular del contrato sea su

mujer, cuyo nombre y apellidos coinciden con los de B.B.B..

- Con fecha 30 de diciembre de 2017, creó un grupo de Whatsapp con una

base de datos telefónicos obtenidos a través de fuentes públicas de los

propios interesados. Adjunta impresión de pantalla de la información que

aparece en Internet de una Administradora de Fincas, donde figura el

número de teléfono de la misma que fue utilizado para su inclusión en el

grupo de Whatsapp creado el 30 de diciembre de 2017.

- Respecto del origen de los datos de la denunciante, manifiesta que ?me

fueron facilitados por ella el año pasado cuando yo le envié un email con

información de nuestra empresa y ella me respondió que quería que le

presupuestásemos una Mancomunidad de propietarios en Tres Cantos y

luego posteriormente me desplace a ver la comunidad con ella in situ y nos

cambiamos nuestras tarjetas o datos entre nosotros.?, no obstante lo cual

no aporta ningún elemento de prueba justificativo de tales manifestaciones.

- El grupo se creó, a iniciativa propia, para felicitar las fiestas navideñas, sin

intención de utilizarlo con fines comerciales u otros usos.

- El grupo fue inmediatamente eliminado tras una petición de uno de los

contactos en tal sentido. Se adjunta captura de pantalla de dicha solicitud y

contestación a la misma de fecha 30 de diciembre de 2017.

2.5 La denunciante ha tenido acceso a los números de teléfono móvil, fotos de

perfil y nombres o datos identificativos de usuario del resto de integrantes del

grupo de Whatsapp denominado ?C.C.C.?, amén de que a éstos también les ha sido

revelado el número de teléfono móvil y nombre y apellido de la denunciante.

TERCERO: Consultada el 12 de abril de 2018 la aplicación de la AEPD que

gestiona la consulta de antecedentes de sanciones y apercibimientos precedentes, a

RPD no le constan registros previos.

CUARTO: Con fecha 19 de abril de 2018, la Directora de la Agencia Española de

Protección de Datos acordó someter a trámite de audiencia previa el presente

procedimiento de apercibimiento A/00163/2018. Dicho acuerdo fue notificado al

denunciado con fecha 27 de abril de 2018.

SEXTO: Con fecha 27 de abril de 2018, Don A.A.A. recibió el acuerdo de Trámite de

Audiencia Previa al Apercibimiento, no habiendo recibido alegaciones hasta esta

fecha.

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

3/14

HECHOS PROBADOS

1) A las 08:48 horas del día 30 de diciembre de 2017 Don A.A.A. creó un grupo

de Whatsapp denominado ?C.C.C.? desde el número de teléfono móvil

***TLF.1, entre cuyos integrantes se encontraba la denunciante.

2) La titular de la línea ***TLF.1 es Dña. B.B.B., aunque el usuario de la misma

es su esposo Don A.A.A..

3) Don A.A.A. creó el reseñado grupo de Whatsapp a iniciativa propia, siendo el

administrador del grupo.

4) La empresa C.C.C. Madrid, S.L. presta servicios de limpieza, control de

acceso y mantenimiento. El denunciante ha manifestado que era trabajador de

la misma.

5) Consta acreditado que el citado grupo de Whatsapp estuvo activo, al menos,

entre el 30 de diciembre de 2017 y el 20 de enero de 2018, período en el que

muchos de sus integrantes se salieron del grupo.

6) En cuanto al origen de los datos utilizados para la creación del reseñado grupo

de Whatsapp, Don A.A.A. ha indicado:

? Que el grupo se creó ?con una base de datos telefónicos obtenidos a

través de fuentes públicas de los propios interesados. Estos datos

aparecen publicados en las páginas web (Anexo I) de todos ellos con

fines de información.?

? En cuanto a la denunciante: ?estos datos me fueron facilitados por ella

el año pasado cuando yo le envié un email con información de nuestra

empresa y ella me respondió que quería que le presupuestásemos una

Mancomunidad de propietarios en Tres Cantos y luego posteriormente

me desplace a ver la comunidad con ella in situ y nos cambiamos

nuestras tarjetas o datos entre nosotros.?

7) La creación de dicho grupo de mensajería instantánea conlleva el tratamiento

de los siguientes datos de carácter personal de los participantes incluidos por

el administrador en el mismo: números de teléfono móvil, fotos de perfil y

nombres o datos identificativos de usuario utilizados por éstos, los cuales

resultaban accesibles a todos sus miembros desde el propio grupo.

8) Don A.A.A. ha informado que el grupo de Whatsapp fue eliminado.

FUNDAMENTOS DE DERECHO

I

Es competente para resolver este procedimiento la Directora de la Agencia

Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g)

en relación con el artículo 36 de la LOPD.

II

El artículo 1 de la LOPD dispone: ?La presente Ley Orgánica tiene por objeto

garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

4/14

libertades públicas y los derechos fundamentales de las personas físicas, y

especialmente de su honor e intimidad personal y familiar?.

En cuanto al ámbito de aplicación de la citada norma, el artículo 2.1 de la

misma señala: ?La presente Ley Orgánica será de aplicación a los datos de carácter

personal registrados en soporte físico que los haga susceptibles de tratamiento, y a

toda modalidad de uso posterior de estos datos por los sectores público y privado?;

definiéndose el concepto de dato de carácter personal en el apartado a) del artículo 3

de la citada Ley Orgánica, como ?Cualquier información concerniente a personas

físicas identificadas o identificables?, añadiendo el apartado 1.f) del artículo 5 del

Reglamento de desarrollo de la LOPD, aprobado por Real Decreto 1720/2007, de 21

de diciembre (RLOPD), que dato de carácter personal es ?cualquier información

numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente

a personas físicas identificadas o identificables?.

La definición de persona identificable aparece en la letra o) del citado artículo

5.1 del RLOPD, que considera como tal ?toda persona cuya identidad pueda

determinarse, directa o indirectamente, mediante cualquier información referida a su

identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física

no se considerará identificable si dicha identificación requiere plazos o actividades

desproporcionados?.

En este mismo sentido se pronuncia el artículo 2.a) de la Directiva 95/46/CE

del Parlamento y del Consejo, de 24 de octubre de 1995, relativa a la Protección de las

Personas Físicas en lo que respecta al tratamiento de datos personales y a la libre

circulación de estos datos, según el cual, a efectos de dicha Directiva, se entiende por

dato personal ?toda información sobre una persona física identificada o identificable;

se considerará identificable toda persona cuya identidad pueda determinarse, directa o

indirectamente, en particular mediante un número de identificación o uno o varios

elementos específicos, característicos de su identidad física, fisiológica, psíquica,

económica, cultural o social?. Asimismo, el Considerando 26 de esta Directiva se

refiere a esta cuestión señalando que, para determinar si una persona es identificable,

hay que considerar el conjunto de los medios que puedan ser razonablemente

utilizados por el responsable del tratamiento o por cualquier otra persona para

identificar a aquélla.

Este concepto de dato personal no puede ser más amplio. La Audiencia

Nacional ha señalado que ?para que exista dato de carácter personal (en

contraposición con dato disociado) no es imprescindible una plena coincidencia entre

el dato y una persona concreta, sino que es suficiente con que tal identificación pueda

efectuarse sin esfuerzos desproporcionados, tal y como se desprende del mencionado

artículo 3 de la Ley, en sus apartados a) y f) y también del Considerando 26 de la

invocada Directiva 95/46/CE que expresamente señala que, para determinar si una

persona es identificable, hay que considerar el conjunto de los medios que puedan ser

razonablemente utilizados por el responsable del tratamiento o por cualquier otra

persona, para identificar a dicha persona; que los principios de la protección no se

aplicarán a aquellos datos hechos anónimos de manera tal que ya no sea posible

identificar al interesado?.

Por otra parte, la aplicabilidad de la normativa de protección de datos de

carácter personal, según el citado artículo 2.1 de la LOPD, requiere que dichos datos

aparezcan registrados en un soporte físico que los haga susceptibles de tratamiento.

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

5/14

El artículo 3 de la LOPD define en su letra c) el tratamiento de datos como

aquellas ?operaciones y procedimientos técnicos de carácter automatizado o no, que

permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y

cancelación, así como las cesiones de datos que resulten de comunicaciones,

consultas, interconexiones y transferencias?.

Por tanto, la garantía del derecho a la protección de datos conferida por la

normativa de referencia requiere que exista una actuación que constituya un

tratamiento de datos personales en el sentido expresado.

La vigente LOPD atribuye la condición de responsables de las infracciones a

los responsables de los ficheros (art. 43), concepto que debe integrarse con la

definición que de los mismos recoge el artículo 3.d). Este precepto incluye en el

concepto de responsable tanto al que lo es del fichero como al del tratamiento de

datos personales.

En el caso que nos ocupa, Don A.A.A. ha actuado como responsable del

tratamiento, al ser ?persona física o jurídica, de naturaleza pública o privada, u órgano

administrativo, que decida sobre la finalidad, contenido y uso del tratamiento?, según lo

recogido en la letra d) del artículo 3 de la LOPD.

Téngase en cuenta que dicha persona decidió utilizar una aplicación de

mensajería instantánea para crear, con fecha 30 de diciembre de 2017, un grupo de

Whatsapp que requería del tratamiento de los datos de carácter personal de los

intervinientes que incluyó en el mismo, posibilitando que éstos pudieran acceder a

través de dicha aplicación a la información de carácter personal referida a los

usuarios que lo formaban. Por lo que el denunciado creó desde una línea de teléfono

de la que era usuario un fichero automatizado y realizó un tratamiento de datos de

carácter personal concerniente a las personas físicas que incluyó endicho grupo, entre

las que figuraba la denunciante.

De acuerdo con las definiciones expuestas, la creación del reseñado grupo de

Whatsapp ha supuesto un tratamiento de los datos personales de los miembros

incluidos en el citado grupo que cae bajo el ámbito de aplicación de la LOPD, en la

medida en que dicho tratamiento se efectúa sobre información concerniente a

personas físicas identificadas o identificables, por lo que debe concluirse la plena

aplicabilidad de los principios y garantías expuestos en la normativa de protección de

datos de carácter personal.

III

En lo que respecta a la infracción del principio del consentimiento, el artículo

6.1 de la LOPD establece que: "El tratamiento de los datos de carácter personal

requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra

cosa".

El artículo 3.h) de la LOPD define ?Consentimiento del interesado? como ?toda

manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que

el interesado consienta el tratamiento de datos personales que le conciernen?.

Dicho principio conlleva la necesidad del consentimiento inequívoco del

afectado para que puedan tratarse sus datos de carácter personal, el consentimiento

permite así al afectado ejercer el control sobre sus datos de carácter personal (la

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

6/14

autodeterminación informativa), ya que es el propio interesado quien tiene que otorgar

su consentimiento para que se pueda realizar el tratamiento de los citados datos.

Se trata de una garantía fundamental que solo encuentra como excepciones a

ese consentimiento del afectado, las establecidas en una ley, recogiéndose en el

apartado 2 del citado artículo 6 LOPD una serie de excepciones a la prestación del

citado consentimiento:

?No será preciso el consentimiento cuando los datos de carácter personal se

recojan para el ejercicio de las funciones propias de las Administraciones públicas en

el ámbito de sus competencias; cuando se refieran a las partes de un contrato o

precontrato de una relación negocial, laboral o administrativa y sean necesarios para

su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por

finalidad proteger un interés vital del interesado en los términos del artículo 7,

apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al

público y su tratamiento sea necesario para la satisfacción del interés legítimo

perseguido por el responsable del fichero o por el del tercero a quien se comuniquen

los datos, siempre que no se vulneren los derechos y libertades fundamentales del

interesado?.

El tratamiento de datos sin consentimiento constituye un límite al derecho

fundamental a la protección de datos. Este derecho, en palabras del Tribunal

Constitucional en su Sentencia 292/2000, de 30 de noviembre, (F.J. 7 primer párrafo),

?...consiste en un poder de disposición y de control sobre los datos personales que

faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea

el Estado o un particular, o cuáles puede este tercero recabar, y que también permite

al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse

a esa posesión o uso. Estos poderes de disposición y control sobre los datos

personales, que constituyen parte del contenido del derecho fundamental a la

protección de datos se concretan jurídicamente en la facultad de consentir la recogida,

la obtención y el acceso a los datos personales, su posterior almacenamiento y

tratamiento, así como su uso o usos posibles, por un tercero, sea el estado o un

particular (...)?.

Son pues elementos consustanciales al derecho fundamental a la protección de

datos personales, la facultad que tiene el afectado de consentir en la recogida y

tratamiento de sus datos personales y el conocimiento de la finalidad y del uso

posterior que se va a dar a sus datos, así como de la identidad del que realiza el

tratamiento.

En términos similares, el artículo 10 del Reglamento de desarrollo de la

LOPD, aprobado por Real Decreto 1720/2007, (RDLOPD), que bajo el epígrafe

?Supuestos que legitiman el tratamiento o cesión de los datos?, determina en su

apartado 1 que:

?1. Los datos de carácter personal únicamente podrán ser objeto de

tratamiento o cesión si el interesado hubiera prestado previamente su consentimiento

para ello.?

Asimismo, los apartados 1 y 3 del artículo 12 del RLOPD establecen los

siguientes ?Principios generales? en cuanto a la ?Obtención del consentimiento del

afectado?:

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

7/14

?1. El responsable del tratamiento deberá obtener el consentimiento del

interesado para el tratamiento de sus datos de carácter personal salvo en aquellos

supuestos en que el mismo no sea exigible con arreglo a lo dispuesto en las leyes.

La solicitud del consentimiento deberá ir referida a un tratamiento o serie de

tratamientos concretos, con delimitación de la finalidad para los que se recaba, así

como de las restantes condiciones que concurran en el tratamiento o serie de

tratamientos.

2. Cuando se solicite el consentimiento del afectado para la cesión de sus

datos, éste deberá ser informado de forma que conozca inequívocamente la finalidad

a la que se destinarán los datos respecto de cuya comunicación se solicita el

consentimiento y el tipo de actividad desarrollada por el cesionario. En caso contrario,

el consentimiento será nulo.

3. Corresponderá al responsable del tratamiento la prueba de la existencia del

consentimiento del afectado por cualquier medio de prueba admisible en derecho.?

Por lo cual, corresponde siempre al responsable del tratamiento comprobar

que tiene el consentimiento del afectado cuando realiza algún tratamiento con los

datos personales del mismo o constatar, en su caso, que se produce alguna de las

excepciones al consentimiento previstas por la normativa vigente, puesto que debe

estar en disposición de justificar tales circunstancias.

A este respecto, la Audiencia Nacional, en sentencia de fecha 31/05/2006

señaló lo siguiente: ?Por otra parte es el responsable del tratamiento (por todas,

sentencia de esta Sala de 25 de octubre de 2002 Rec. 185/2001) a quien corresponde

asegurarse de que aquel a quien se solicita el consentimiento, efectivamente lo da, y

que esa persona que está dando el consentimiento es efectivamente el titular de esos

datos personales, debiendo conservar la prueba del cumplimiento de la obligación a

disposición de la Administración, encargada de velar por el cumplimiento de la ley?.

Por otra parte, el artículo 6 del Reglamento General de Protección de Datos,

Reglamento (UE) 2016/679, norma aplicable a partir del 25 de mayo de 2018,

establece que el tratamiento de datos personales ?solo será lícito si se cumple la

menos una de las siguientes condiciones?: ?a) el interesado dio su consentimiento

para el tratamiento de sus datos personales para uno varios fines específicos; b) el

tratamiento es necesario para la ejecución de un contrato en el que le interesado es

parte o para la aplicación a petición de este de medidas precontractuales? ? (?);

fijando en su artículo 7.1) en relación con el consentimiento del interesado que ?el

responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus

datos personales.?

En este supuesto, el denunciado creó un grupo de mensajería instantánea que

ha supuesto un tratamiento de datos de carácter personal no consentido por parte de

los titulares de dichos datos, y que concernía a la siguiente información personal de

los participantes en el mismo: números de teléfono móvil, fotos de perfil y nombres o

datos identificativos de usuario utilizados por éstos, la cual, además, resultaba

accesible a todos sus integrantes desde el propio grupo.

IV

En el presente caso, Don A.A.A. no ha acreditado mediante ningún medio de

prueba que contaba con el consentimiento de la denunciante para tratar sus datos de

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

8/14

carácter personal con la finalidad de incluirlos en el mencionado grupo de mensajería

instantánea. Téngase en cuenta que dicho administrador no ha justificado el origen de

los datos de la afectada tratados, puesto que no ha acreditado la existencia del

contacto comercial mantenido por la misma con la empresa C.C.C. Madrid, S.L. que

supuestamente dio lugar a que el denunciado visitase una Mancomunidad de

Propietarios en Tres Cantos para realizar un presupuesto solicitado por la

denunciante. Asimismo, tampoco ha presentado la tarjeta que ha indicado le fue

entregada por la denunciante ( hecho probado nº 6). A lo que se suma que la

denunciante ha indicado en su denuncia que ?Esta mañana me he encontrado dentro

de un grupo de Whatsapp que ha creado una empresa que yo no conozco ni he

autorizado para que use mis datos?.

Asimismo, el denunciado no ha justificado mediante ningún medio de prueba

que mediase el consentimiento del resto de afectados para tratar sus datos

personales incluyéndolos en un grupo de whatsapp. Precisamente, el hecho de

manifestar que utilizó los datos de contacto (teléfonos móviles) que aparecían

publicados con fines de información en páginas web de los propios interesados

acredita que el denunciado utilizó dichos datos sin mediar el consentimiento

inequívoco de sus titulares, ya que las páginas web de Internet no tienen la

consideración de ?Fuentes accesibles al público? en la LOPD.

El artículo 3.j) de la LOPD define como ?Fuentes accesibles al público:

aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no

impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de

una contraprestación. Tienen la consideración de fuentes de acceso público,

exclusivamente, el censo promocional, los repertorios telefónicos en los términos

previstos por su normativa específica y las listas de personas pertenecientes a grupos

de profesionales que contengan únicamente los datos de nombre, título, profesión,

actividad, grado académico, dirección e indicación de su pertenencia al grupo.

Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines

oficiales y los medios de comunicación.?

Por su parte, el artículo 7 del Real Decreto 1720/2007, de 21 de diciembre,

por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13

de diciembre, de protección de datos de carácter personal, define como ?Fuentes

accesibles al público?:

?1. A efectos del artículo 3, párrafo j) de la Ley Orgánica 15/1999, se entenderá

que sólo tendrán el carácter de fuentes accesibles al público:

a) El censo promocional, regulado conforme a lo dispuesto en la Ley Orgánica

15/1999, de 13 de diciembre.

b) Las guías de servicios de comunicaciones electrónicas, en los términos

previstos por su normativa específica.

c) Las listas de personas pertenecientes a grupos de profesionales que

contengan únicamente los datos de nombre, título, profesión, actividad, grado

académico, dirección profesional e indicación de su pertenencia al grupo. La dirección

profesional podrá incluir los datos del domicilio postal completo, número telefónico,

número de fax y dirección electrónica. En el caso de Colegios profesionales, podrán

indicarse como datos de pertenencia al grupo los de número de colegiado, fecha de

incorporación y situación de ejercicio profesional.

d) Los diarios y boletines oficiales.

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

9/14

e) Los medios de comunicación social.

2. En todo caso, para que los supuestos enumerados en el apartado anterior

puedan ser considerados fuentes accesibles al público, será preciso que su consulta

pueda ser realizada por cualquier persona, no impedida por una norma limitativa, o sin

más exigencia que, en su caso, el abono de una contraprestación. ?

De lo que se desprende que al no proceder los datos personales tratados

de fuentes accesibles al público y no haberse justificado por el responsable del

tratamiento que su utilización fuera necesaria para la satisfacción de un interés

legítimo del mismo, no se produce la excepción a la obtención del consentimiento

recogida en el apartado 2 del artículo 6 de la LOPD a la que, sin citar expresamente,

se refería el denunciado al señalar los datos ?aparecen publicados en páginas

web? o se obtuvieron de ?fuentes públicas de los propios interesados?.

La publicación de datos personales en páginas web como datos de contacto a

fin de que los usuarios de los portales puedan obtener información complementaria

sobre los servicios ofrecidos no conlleva la prestación del consentimiento de los

titulares de los mismos para usos distintos, por lo que el denunciado no estaba

exento de haber obtenido el consentimiento de los afectados cuyos números de

teléfono móvil utilizó para crear un grupo de Whatsapp.

En consecuencia, a la vista de lo expuesto el denunciado no contaba con el

consentimiento de las personas que incluyó en dicho grupo para tratar sus datos

personales con esa finalidad concreta, motivo por el cual dicho tratamiento se realizó

sin mediar el consentimiento inequívoco de los afectados ni concurrir alguna de las

excepciones al consentimiento contempladas en el aparatado 2 del artículo 6 de la

LOPD.

V

El artículo 44.3.b) de la LOPD califica como infracción grave: ?Tratar datos de

carácter personal sin recabar el consentimiento de las personas afectadas, cuando el

mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de

desarrollo?.

De acuerdo con lo expuesto, se considera que el tratamiento efectuado por

Don A.A.A. al crear el grupo de Whatsapp en cuestión sin mediar el consentimiento

de los afectados que lo integraban, vulnera, a título de culpa, el principio del

consentimiento consagrado en el artículo 6.1 de la LOPD, conducta que encuentra

su tipificación en el artículo 44.3.b) de la citada Ley Orgánica.

VI

Asimismo, el presente procedimiento tiene por objeto determinar las

responsabilidades que se derivan de la revelación de datos de carácter personal de

la denunciante al resto de integrantes del grupo de Whatssap estudiado, cuyos

datos personales también fueron revelados tanto a la denunciante como a los demás

miembros del grupo, y que se creó a iniciativa propia del administrador del mismo, no

constando probada la existencia de ningún tipo de relación entre ellos.

El artículo 10 de la LOPD dispone: ?El responsable del fichero y quienes

intervengan en cualquier fase del tratamiento de los datos de carácter personal están

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

10/14

obligados al secreto profesional respecto de los mismos y al deber de guardarlos,

obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del

fichero o, en su caso, con el responsable del mismo?.

Dado el contenido de este precepto, ha de entenderse que el mismo tiene

como finalidad evitar que, por parte de quienes están en contacto con los datos

personales almacenados en ficheros, se realicen filtraciones de los datos no

consentidas por los titulares de los mismos a terceros. Este deber de secreto, que

incumbe no sólo a los responsables de los ficheros sino a todos aquellos que

intervengan en cualquier fase del tratamiento de los datos de carácter personal,

comporta que el responsable de los datos almacenados no pueda revelar ni dar a

conocer su contenido teniendo el ?deber de guardarlos, obligaciones que subsistirán

aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el

responsable del mismo?, de modo que los datos tratados no puedan ser conocidos por

ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en

eso consiste precisamente el secreto.

Así el Tribunal Superior de Justicia de Madrid declaró que: ?El deber de

guardar secreto del artículo 10 queda definido por el carácter personal del dato

integrado en el fichero, de cuyo secreto sólo tiene facultad de disposición el sujeto

afectado, pues no en vano el derecho a la intimidad es un derecho individual y no

colectivo. Por ello es igualmente ilícita la comunicación a cualquier tercero, con

independencia de la relación que mantenga con él la persona a que se refiera la

información (...)?.

Este deber de sigilo resulta esencial en las sociedades actuales cada vez más

complejas, en las que las personas están situadas, cada vez más, en zonas de riesgo

para la protección de derechos fundamentales, como la intimidad o el derecho a la

protección de los datos que recoge el artículo 18.4 de la Constitución Española. En

efecto, este precepto contiene un ?instituto de garantía de los derechos de los

ciudadanos que, además, es en sí mismo un derecho o libertad fundamental, el

derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de

la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos?

(Sentencia del Tribunal Constitucional 292/2000, de 30/11). Este derecho fundamental

a la protección de datos persigue garantizar a esa persona un poder de control sobre

sus datos personales, sobre su uso y destino que impida que se produzcan

situaciones atentatorias con la dignidad de la persona, es decir, el poder de resguardar

su vida privada de una publicidad no querida.

En este sentido el deber de sigilo como se señala en las SSAN, Sec. 1ª, de 14

de septiembre de 2002 (Rec.196/00), 13 de abril de 2005 (Rec. 230/2003), 18 de julio

de 2007 (Rec. 377/2005 ) "es una exigencia elemental y anterior al propio

reconocimiento del derecho fundamental a la libertad informática a que se refiere la

STC 292/2000 (...) Este deber de sigilo resulta esencial en las sociedades actuales

cada vez más complejas, en las que los avances de la técnica sitúan a la persona en

zonas de riesgo para la protección de los derechos fundamentales, como la intimidad

o el derecho a la protección de datos que recoge el artículo 18.4 de la CE (...)".

En este caso, ese deber de secreto o confidencialidad comporta que el

creador del grupo, responsable de la custodia de los datos de carácter personal de

los afectados objeto de tratamiento, no puede revelarlos a terceros, salvo con

consentimiento de los mismos o en los casos autorizados por la ley (artículos 11 y 12

de la LOPD).

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

11/14

Sin embargo, el uso por Don A.A.A. del teléfono móvil de la denunciante y

del resto de afectados para crear, sin consentimiento de los mismos, un grupo de

mensajería instantánea convierte al administrador del citado grupo en responsable

de la difusión entre los miembros del grupo de la información personal concerniente a

los números de teléfono móvil, fotos de perfil y nombres o datos identificativos de

usuario utilizados por éstos que resulta accesible desde el propio grupo.

En el presente caso, la creación del reseñado grupo de Whatsapp permitió el

acceso por parte de terceros a datos personales relativos a la denunciante y a la

inversa, ya que ésta accedió a información de carácter personal concerniente al resto

de miembros, según el detalle que conste en los hechos probados, cuestión que ha

quedado acreditada en el presente procedimiento.

VII

El artículo 44.3.d) de la LOPD, califica como infracción grave: ?La vulneración

del deber de guardar secreto acerca del tratamiento de los datos de carácter personal

al que se refiere el artículo 10 de la presente Ley.?

De acuerdo con lo expuesto en el anterior fundamento de Derecho, Don

A.A.A., administrador del reseñado grupo de Whatsapp, ha infringido el deber de

secreto garantizado en el artículo 10 de la LOPD, toda vez que resulta responsable de

revelar a los integrantes del mismo los datos personales del resto de miembros,

puesto que ha posibilitado a cada uno de ellos el acceso a la información de

carácter personal anteriormente indicada concerniente a los restantes integrantes,

todo ello sin acreditar mediante ningún medio de prueba que mediara el

consentimiento de los afectados para ello ni ha justificado que dicho tratamiento de

datos estuviera legalmente habilitado.

VIII

El artículo 45.6 de la LOPD establece lo siguiente:

?Excepcionalmente el órgano sancionador podrá, previa audiencia de los

interesados y atendida la naturaleza de los hechos y la concurrencia significativa de

los criterios establecidos en el apartado anterior, no acordar la apertura del

procedimiento sancionador, y en su lugar, apercibir al sujeto responsable a fin de que,

en el plazo que el órgano sancionador determine, acredite la adopción de las medidas

correctoras que en cada caso resultasen pertinentes, siempre que concurran los

siguientes presupuestos:

a) que los hechos fuesen constitutivos de infracción leve o grave conforme a lo

dispuesto en esta Ley.

b) que el infractor no hubiese sido sancionado o apercibido con anterioridad.

Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador

hubiera determinado procederá la apertura del correspondiente procedimiento

sancionador por dicho incumplimiento?.

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

12/14

A este respecto, procede considerar lo establecido en el artículo 45.4 y 5 de la

LOPD:

?4. La cuantía de las sanciones se graduará atendiendo a los siguientes

criterios:

a El carácter continuado de la infracción.

b El volumen de los tratamientos efectuados.

c La vinculación de la actividad del infractor con la realización de tratamientos

de datos de carácter personal.

d El volumen de negocio o actividad del infractor.

e Los beneficios obtenidos como consecuencia de la comisión de la

infracción.

f El grado de intencionalidad.

g La reincidencia por comisión de infracciones de la misma naturaleza.

h) La naturaleza de los perjuicios causados a las personas interesadas o a

terceras personas.

i) La acreditación de que con anterioridad a los hechos constitutivos de

infracción la entidad imputada tenía implantados procedimientos adecuados de

actuación en la recogida y tratamiento de IOS datos de carácter personal, siendo la

infracción consecuencia de una anomalía en el funcionamiento de dichos

procedimientos no debida a una falta de diligencia exigible al infractor.

j) Cualquier otra circunstancia que sea relevante para determinar el grado de

antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.

5. El órgano sancionador establecerá la cuantía de la sanción aplicando la

escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a

aquella en que se integra la considerada en el caso de que se trate, en los siguientes

supuestos:

a Cuando se aprecie una cualificada disminución de la culpabilidad del

imputado o de la antijuridicidad del hecho como consecuencia de la

concurrencia significativa de varios de los criterios enunciados en el

apartado 4 de este artículo.

b Cuando la entidad infractora haya regularizado la situación irregular de

forma diligente.

c Cuando pueda apreciarse que la conducta del afectado ha podido inducir a

la comisión de la infracción.

d Cuando el infractor haya reconocido espontáneamente su culpabilidad.

e Cuando se haya producido un proceso de fusión por absorción y la

infracción fuese anterior a dicho proceso, no siendo imputable a la entidad

absorbente?.

Trasladando las consideraciones expuestas al supuesto que nos ocupa, se

observa que las infracciones de cuya comisión se responsabiliza a Don A.A.A. están

calificadas como infracción ?grave? y que dicha persona no ha sido sancionada o

apercibida por esta Agencia en ninguna ocasión anterior. Junto a ello, se constata una

cualificada disminución de la culpabilidad del mismo al concurrir, de manera

significativa, varias de los criterios enunciados en el artículo 45.4 de la LOPD.

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

13/14

Concretamente, se tiene en cuenta que Don A.A.A. no tiene como actividad principal

el tratamiento de datos personales, la ausencia de beneficios obtenidos por la

comisión de las infracciones citadas y la falta de pruebas relativas a la existencia de

perjuicios causados a las personas interesadas o a terceras personas. Todo ello, unido

a la naturaleza de los hechos que nos ocupan, justifica que la AEPD opte por aplicar

el artículo 45.6 de la LOPD.

IX

Ahora bien, es obligado hacer mención a la Sentencia de la Audiencia Nacional

de 29/11/2013, (Rec. 455/2011), Fundamento de Derecho Sexto, que sobre el

apercibimiento regulado en el artículo 45.6 de la LOPD y a propósito de su naturaleza

jurídica advierte que ?no constituye una sanción? y que se trata de ?medidas

correctoras de cesación de la actividad constitutiva de la infracción? que sustituyen a la

sanción. La Sentencia entiende que el artículo 45.6 de la LOPD confiere a la AEPD

una ?potestad? diferente de la sancionadora cuyo ejercicio se condiciona a la

concurrencia de las especiales circunstancias descritas en el precepto.

En congruencia con la naturaleza atribuida al apercibimiento como una

alternativa a la sanción cuando, atendidas las circunstancias del caso, el sujeto de la

infracción no es merecedor de aquella y cuyo objeto es la imposición de medidas

correctoras, la SAN citada concluye que cuando no se requieran medidas correctoras,

lo procedente en Derecho es acordar el archivo de las actuaciones.

En este caso concreto, atendida la naturaleza de la infracción y habida cuenta

que el administrador del grupo ha comunicado que procedió a eliminar el grupo de

Whatsapp tras una petición de uno de los contactos en tal sentido, debe procederse

en consecuencia, a resolver el archivo de las actuaciones, sin practicar apercibimiento

o requerimiento alguno a Don A.A.A., en aplicación de la interpretación del artículo

45.6 de la LOPD, atendida su interpretación sistemática y teleológica.

De acuerdo con lo señalado,

Por la Directora de la Agencia Española de Protección de Datos,

SE ACUERDA:

1.- ARCHIVAR el procedimiento A/00163/2018 seguido contra Don A.A.A., con

arreglo a lo dispuesto en el artículo 45.6 de la Ley Orgánica 15/1999, de 13 de

diciembre, de Protección de Datos de Carácter Personal, con relación a la denuncia

por infracción de sus artículos 6.1 y 10, infracciones tipificadas, respectivamente,

como graves en los artículos 44.3.b) y 44.3.d) de dicha norma.

2.- NOTIFICAR el presente Acuerdo a Don A.A.A. y a Dña. B.B.B.

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es

14/14

De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,

en la redacción dada por el artículo 82 de la Ley 62/2003, de 30 de diciembre, de

medidas fiscales, administrativas y del orden social, la presente Resolución se hará

pública, una vez haya sido notificada a los interesados. La publicación se realizará

conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia

Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo

a lo dispuesto en el artículo 116 del reglamento de desarrollo de la LOPD aprobado

por el Real Decreto 1720/2007, de 21 diciembre.

Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la

LOPD), y de conformidad con lo establecido en los artículos 112 y 123 de la Ley

39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las

Administraciones Públicas, los interesados podrán interponer, potestativamente,

recurso de reposición ante la Directora de la Agencia Española de Protección de Datos

en el plazo de un mes a contar desde el día siguiente a la notificación de esta

resolución, o, directamente recurso contencioso administrativo ante la Sala de lo

Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el

artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de

13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa, en el plazo de

dos meses a contar desde el día siguiente a la notificación de esta acto, según lo

previsto en el artículo 46.1 del referido texto legal.

Mar España Martí

Directora de la Agencia Española de Protección de Datos

C/ Jorge Juan, 6 www.agpd.es

28001 ? Madrid sedeagpd.gob.es