Última revisión
Resolución de la Agencia Española de Protección de Datos A-00163-2018 de 18 de julio de 2018
Relacionados:
Órgano: Agencia Española de Protección de Datos
Fecha: 18/07/2018
Num. Resolución: A-00163-2018
Cuestión
Sector:1 / 14
Procedimiento Nº: A/00163/2018
RESOLUCIÓN: R/01018/2018
En el procedimiento A/00163/2018, instruido por la Agencia Española de
Protección de Datos a Don A.A.A. , vista la denuncia presentada por Dña. B.B.B. y en
virtud de los siguientes,
ANTECEDENTES
PRIMERO : Con...
Contestacion
1/14
Procedimiento Nº: A/00163/2018
RESOLUCIÓN: R/01018/2018
En el procedimiento A/00163/2018, instruido por la Agencia Española de
Protección de Datos a Don A.A.A., vista la denuncia presentada por Dña. B.B.B. y en
virtud de los siguientes,
ANTECEDENTES
PRIMERO: Con fecha 30 de diciembre de 2017 tienen entrada en esta Agencia dos
escritos presentados por Dña. B.B.B. (en lo sucesivo, la denunciante) en los que
manifiesta que, sin mediar su autorización para ello, ha sido incluida en un grupo de
Whatsapp denominado ?C.C.C.?, que se creó a las 08:48 horas del día 30 de
diciembre de 2017 desde el número de teléfono móvil ***TLF.1, con el que no
mantiene ninguna relación.
La denunciante, ha aportado, entre otra, la siguiente documentación junto con sus
escritos de denuncia y la documentación complementaria que presentó con fecha
23 de enero de 2018:
- Relación que muestra los números de teléfono móvil de cada uno los
integrantes del grupo, el contenido de los mensajes enviados por éstos
entre el 30 de diciembre de 2017 y el 20 de enero de 2018 y las fechas
de salida de los miembros del grupo. Se comprueba que algunos de los
mensajes se refieren a que, al parecer, el grupo está formado por
administradores de fincas o personas relacionadas con dicho sector.
- Captura de pantalla de su teléfono móvil, donde aparece el número de
teléfono del administrador del grupo ***TLF.1 asociado al nombre de
A.A.A.
SEGUNDO: Tras la recepción de la denuncia la Subdirección General de Inspección
de Datos procedió a la realización de actuaciones previas de investigación para el
esclarecimiento de los hechos denunciados, teniendo conocimiento de los siguientes
extremos:
2.1La entidad Vodafone España, SAU ha informado con fecha 21 de febrero de
2018 que Dña. B.B.B., en adelante B.B.B., es titular de la línea ***TLF.1
2.2 Con fecha 5 de marzo de 2018, se remite escrito de requerimiento de
información a B.B.B. que resulta devuelto por el servicio de Correos, motivo
por el cual con fecha 27 de marzo de 2018 se intenta contactar vía telefónica
con la titular de la línea ***TLF.1. Fruto de ese contacto se mantiene una
conversación telefónica con quien se identifica como A.A.A. y afirma ser
esposo de la titular de la citada línea y usuario de dicho teléfono. Informado
de la devolución del envío certificado proporciona una dirección de correo
electrónico para la remisión del requerimiento de información. Con
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
2/14
posterioridad dicha persona realiza una llamada telefónica desde esa línea de
teléfono comunicando que es trabajador de la empresa ?C.C.C.?.
2.3 La empresa C.C.C. Madrid, S.L. presta servicios de limpieza, control de
acceso y mantenimiento.
2.4 Con fechas 4 y 9 de abril de 2018, se reciben en esta Agencia dos correos
electrónicos en los que Don A.A.A. (en adelante A.A.A. o el denunciado)
informa de lo que sigue:
- Que es el usuario del móvil ***TLF.1, aunque la titular del contrato sea su
mujer, cuyo nombre y apellidos coinciden con los de B.B.B..
- Con fecha 30 de diciembre de 2017, creó un grupo de Whatsapp con una
base de datos telefónicos obtenidos a través de fuentes públicas de los
propios interesados. Adjunta impresión de pantalla de la información que
aparece en Internet de una Administradora de Fincas, donde figura el
número de teléfono de la misma que fue utilizado para su inclusión en el
grupo de Whatsapp creado el 30 de diciembre de 2017.
- Respecto del origen de los datos de la denunciante, manifiesta que ?me
fueron facilitados por ella el año pasado cuando yo le envié un email con
información de nuestra empresa y ella me respondió que quería que le
presupuestásemos una Mancomunidad de propietarios en Tres Cantos y
luego posteriormente me desplace a ver la comunidad con ella in situ y nos
cambiamos nuestras tarjetas o datos entre nosotros.?, no obstante lo cual
no aporta ningún elemento de prueba justificativo de tales manifestaciones.
- El grupo se creó, a iniciativa propia, para felicitar las fiestas navideñas, sin
intención de utilizarlo con fines comerciales u otros usos.
- El grupo fue inmediatamente eliminado tras una petición de uno de los
contactos en tal sentido. Se adjunta captura de pantalla de dicha solicitud y
contestación a la misma de fecha 30 de diciembre de 2017.
2.5 La denunciante ha tenido acceso a los números de teléfono móvil, fotos de
perfil y nombres o datos identificativos de usuario del resto de integrantes del
grupo de Whatsapp denominado ?C.C.C.?, amén de que a éstos también les ha sido
revelado el número de teléfono móvil y nombre y apellido de la denunciante.
TERCERO: Consultada el 12 de abril de 2018 la aplicación de la AEPD que
gestiona la consulta de antecedentes de sanciones y apercibimientos precedentes, a
RPD no le constan registros previos.
CUARTO: Con fecha 19 de abril de 2018, la Directora de la Agencia Española de
Protección de Datos acordó someter a trámite de audiencia previa el presente
procedimiento de apercibimiento A/00163/2018. Dicho acuerdo fue notificado al
denunciado con fecha 27 de abril de 2018.
SEXTO: Con fecha 27 de abril de 2018, Don A.A.A. recibió el acuerdo de Trámite de
Audiencia Previa al Apercibimiento, no habiendo recibido alegaciones hasta esta
fecha.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
3/14
HECHOS PROBADOS
1) A las 08:48 horas del día 30 de diciembre de 2017 Don A.A.A. creó un grupo
de Whatsapp denominado ?C.C.C.? desde el número de teléfono móvil
***TLF.1, entre cuyos integrantes se encontraba la denunciante.
2) La titular de la línea ***TLF.1 es Dña. B.B.B., aunque el usuario de la misma
es su esposo Don A.A.A..
3) Don A.A.A. creó el reseñado grupo de Whatsapp a iniciativa propia, siendo el
administrador del grupo.
4) La empresa C.C.C. Madrid, S.L. presta servicios de limpieza, control de
acceso y mantenimiento. El denunciante ha manifestado que era trabajador de
la misma.
5) Consta acreditado que el citado grupo de Whatsapp estuvo activo, al menos,
entre el 30 de diciembre de 2017 y el 20 de enero de 2018, período en el que
muchos de sus integrantes se salieron del grupo.
6) En cuanto al origen de los datos utilizados para la creación del reseñado grupo
de Whatsapp, Don A.A.A. ha indicado:
? Que el grupo se creó ?con una base de datos telefónicos obtenidos a
través de fuentes públicas de los propios interesados. Estos datos
aparecen publicados en las páginas web (Anexo I) de todos ellos con
fines de información.?
? En cuanto a la denunciante: ?estos datos me fueron facilitados por ella
el año pasado cuando yo le envié un email con información de nuestra
empresa y ella me respondió que quería que le presupuestásemos una
Mancomunidad de propietarios en Tres Cantos y luego posteriormente
me desplace a ver la comunidad con ella in situ y nos cambiamos
nuestras tarjetas o datos entre nosotros.?
7) La creación de dicho grupo de mensajería instantánea conlleva el tratamiento
de los siguientes datos de carácter personal de los participantes incluidos por
el administrador en el mismo: números de teléfono móvil, fotos de perfil y
nombres o datos identificativos de usuario utilizados por éstos, los cuales
resultaban accesibles a todos sus miembros desde el propio grupo.
8) Don A.A.A. ha informado que el grupo de Whatsapp fue eliminado.
FUNDAMENTOS DE DERECHO
I
Es competente para resolver este procedimiento la Directora de la Agencia
Española de Protección de Datos, de conformidad con lo dispuesto en el artículo 37. g)
en relación con el artículo 36 de la LOPD.
II
El artículo 1 de la LOPD dispone: ?La presente Ley Orgánica tiene por objeto
garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
4/14
libertades públicas y los derechos fundamentales de las personas físicas, y
especialmente de su honor e intimidad personal y familiar?.
En cuanto al ámbito de aplicación de la citada norma, el artículo 2.1 de la
misma señala: ?La presente Ley Orgánica será de aplicación a los datos de carácter
personal registrados en soporte físico que los haga susceptibles de tratamiento, y a
toda modalidad de uso posterior de estos datos por los sectores público y privado?;
definiéndose el concepto de dato de carácter personal en el apartado a) del artículo 3
de la citada Ley Orgánica, como ?Cualquier información concerniente a personas
físicas identificadas o identificables?, añadiendo el apartado 1.f) del artículo 5 del
Reglamento de desarrollo de la LOPD, aprobado por Real Decreto 1720/2007, de 21
de diciembre (RLOPD), que dato de carácter personal es ?cualquier información
numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente
a personas físicas identificadas o identificables?.
La definición de persona identificable aparece en la letra o) del citado artículo
5.1 del RLOPD, que considera como tal ?toda persona cuya identidad pueda
determinarse, directa o indirectamente, mediante cualquier información referida a su
identidad física, fisiológica, psíquica, económica, cultural o social. Una persona física
no se considerará identificable si dicha identificación requiere plazos o actividades
desproporcionados?.
En este mismo sentido se pronuncia el artículo 2.a) de la Directiva 95/46/CE
del Parlamento y del Consejo, de 24 de octubre de 1995, relativa a la Protección de las
Personas Físicas en lo que respecta al tratamiento de datos personales y a la libre
circulación de estos datos, según el cual, a efectos de dicha Directiva, se entiende por
dato personal ?toda información sobre una persona física identificada o identificable;
se considerará identificable toda persona cuya identidad pueda determinarse, directa o
indirectamente, en particular mediante un número de identificación o uno o varios
elementos específicos, característicos de su identidad física, fisiológica, psíquica,
económica, cultural o social?. Asimismo, el Considerando 26 de esta Directiva se
refiere a esta cuestión señalando que, para determinar si una persona es identificable,
hay que considerar el conjunto de los medios que puedan ser razonablemente
utilizados por el responsable del tratamiento o por cualquier otra persona para
identificar a aquélla.
Este concepto de dato personal no puede ser más amplio. La Audiencia
Nacional ha señalado que ?para que exista dato de carácter personal (en
contraposición con dato disociado) no es imprescindible una plena coincidencia entre
el dato y una persona concreta, sino que es suficiente con que tal identificación pueda
efectuarse sin esfuerzos desproporcionados, tal y como se desprende del mencionado
artículo 3 de la Ley, en sus apartados a) y f) y también del Considerando 26 de la
invocada Directiva 95/46/CE que expresamente señala que, para determinar si una
persona es identificable, hay que considerar el conjunto de los medios que puedan ser
razonablemente utilizados por el responsable del tratamiento o por cualquier otra
persona, para identificar a dicha persona; que los principios de la protección no se
aplicarán a aquellos datos hechos anónimos de manera tal que ya no sea posible
identificar al interesado?.
Por otra parte, la aplicabilidad de la normativa de protección de datos de
carácter personal, según el citado artículo 2.1 de la LOPD, requiere que dichos datos
aparezcan registrados en un soporte físico que los haga susceptibles de tratamiento.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
5/14
El artículo 3 de la LOPD define en su letra c) el tratamiento de datos como
aquellas ?operaciones y procedimientos técnicos de carácter automatizado o no, que
permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y
cancelación, así como las cesiones de datos que resulten de comunicaciones,
consultas, interconexiones y transferencias?.
Por tanto, la garantía del derecho a la protección de datos conferida por la
normativa de referencia requiere que exista una actuación que constituya un
tratamiento de datos personales en el sentido expresado.
La vigente LOPD atribuye la condición de responsables de las infracciones a
los responsables de los ficheros (art. 43), concepto que debe integrarse con la
definición que de los mismos recoge el artículo 3.d). Este precepto incluye en el
concepto de responsable tanto al que lo es del fichero como al del tratamiento de
datos personales.
En el caso que nos ocupa, Don A.A.A. ha actuado como responsable del
tratamiento, al ser ?persona física o jurídica, de naturaleza pública o privada, u órgano
administrativo, que decida sobre la finalidad, contenido y uso del tratamiento?, según lo
recogido en la letra d) del artículo 3 de la LOPD.
Téngase en cuenta que dicha persona decidió utilizar una aplicación de
mensajería instantánea para crear, con fecha 30 de diciembre de 2017, un grupo de
Whatsapp que requería del tratamiento de los datos de carácter personal de los
intervinientes que incluyó en el mismo, posibilitando que éstos pudieran acceder a
través de dicha aplicación a la información de carácter personal referida a los
usuarios que lo formaban. Por lo que el denunciado creó desde una línea de teléfono
de la que era usuario un fichero automatizado y realizó un tratamiento de datos de
carácter personal concerniente a las personas físicas que incluyó endicho grupo, entre
las que figuraba la denunciante.
De acuerdo con las definiciones expuestas, la creación del reseñado grupo de
Whatsapp ha supuesto un tratamiento de los datos personales de los miembros
incluidos en el citado grupo que cae bajo el ámbito de aplicación de la LOPD, en la
medida en que dicho tratamiento se efectúa sobre información concerniente a
personas físicas identificadas o identificables, por lo que debe concluirse la plena
aplicabilidad de los principios y garantías expuestos en la normativa de protección de
datos de carácter personal.
III
En lo que respecta a la infracción del principio del consentimiento, el artículo
6.1 de la LOPD establece que: "El tratamiento de los datos de carácter personal
requerirá el consentimiento inequívoco del afectado, salvo que la Ley disponga otra
cosa".
El artículo 3.h) de la LOPD define ?Consentimiento del interesado? como ?toda
manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que
el interesado consienta el tratamiento de datos personales que le conciernen?.
Dicho principio conlleva la necesidad del consentimiento inequívoco del
afectado para que puedan tratarse sus datos de carácter personal, el consentimiento
permite así al afectado ejercer el control sobre sus datos de carácter personal (la
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
6/14
autodeterminación informativa), ya que es el propio interesado quien tiene que otorgar
su consentimiento para que se pueda realizar el tratamiento de los citados datos.
Se trata de una garantía fundamental que solo encuentra como excepciones a
ese consentimiento del afectado, las establecidas en una ley, recogiéndose en el
apartado 2 del citado artículo 6 LOPD una serie de excepciones a la prestación del
citado consentimiento:
?No será preciso el consentimiento cuando los datos de carácter personal se
recojan para el ejercicio de las funciones propias de las Administraciones públicas en
el ámbito de sus competencias; cuando se refieran a las partes de un contrato o
precontrato de una relación negocial, laboral o administrativa y sean necesarios para
su mantenimiento o cumplimiento; cuando el tratamiento de los datos tenga por
finalidad proteger un interés vital del interesado en los términos del artículo 7,
apartado 6, de la presente Ley, o cuando los datos figuren en fuentes accesibles al
público y su tratamiento sea necesario para la satisfacción del interés legítimo
perseguido por el responsable del fichero o por el del tercero a quien se comuniquen
los datos, siempre que no se vulneren los derechos y libertades fundamentales del
interesado?.
El tratamiento de datos sin consentimiento constituye un límite al derecho
fundamental a la protección de datos. Este derecho, en palabras del Tribunal
Constitucional en su Sentencia 292/2000, de 30 de noviembre, (F.J. 7 primer párrafo),
?...consiste en un poder de disposición y de control sobre los datos personales que
faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea
el Estado o un particular, o cuáles puede este tercero recabar, y que también permite
al individuo saber quién posee esos datos personales y para qué, pudiendo oponerse
a esa posesión o uso. Estos poderes de disposición y control sobre los datos
personales, que constituyen parte del contenido del derecho fundamental a la
protección de datos se concretan jurídicamente en la facultad de consentir la recogida,
la obtención y el acceso a los datos personales, su posterior almacenamiento y
tratamiento, así como su uso o usos posibles, por un tercero, sea el estado o un
particular (...)?.
Son pues elementos consustanciales al derecho fundamental a la protección de
datos personales, la facultad que tiene el afectado de consentir en la recogida y
tratamiento de sus datos personales y el conocimiento de la finalidad y del uso
posterior que se va a dar a sus datos, así como de la identidad del que realiza el
tratamiento.
En términos similares, el artículo 10 del Reglamento de desarrollo de la
LOPD, aprobado por Real Decreto 1720/2007, (RDLOPD), que bajo el epígrafe
?Supuestos que legitiman el tratamiento o cesión de los datos?, determina en su
apartado 1 que:
?1. Los datos de carácter personal únicamente podrán ser objeto de
tratamiento o cesión si el interesado hubiera prestado previamente su consentimiento
para ello.?
Asimismo, los apartados 1 y 3 del artículo 12 del RLOPD establecen los
siguientes ?Principios generales? en cuanto a la ?Obtención del consentimiento del
afectado?:
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
7/14
?1. El responsable del tratamiento deberá obtener el consentimiento del
interesado para el tratamiento de sus datos de carácter personal salvo en aquellos
supuestos en que el mismo no sea exigible con arreglo a lo dispuesto en las leyes.
La solicitud del consentimiento deberá ir referida a un tratamiento o serie de
tratamientos concretos, con delimitación de la finalidad para los que se recaba, así
como de las restantes condiciones que concurran en el tratamiento o serie de
tratamientos.
2. Cuando se solicite el consentimiento del afectado para la cesión de sus
datos, éste deberá ser informado de forma que conozca inequívocamente la finalidad
a la que se destinarán los datos respecto de cuya comunicación se solicita el
consentimiento y el tipo de actividad desarrollada por el cesionario. En caso contrario,
el consentimiento será nulo.
3. Corresponderá al responsable del tratamiento la prueba de la existencia del
consentimiento del afectado por cualquier medio de prueba admisible en derecho.?
Por lo cual, corresponde siempre al responsable del tratamiento comprobar
que tiene el consentimiento del afectado cuando realiza algún tratamiento con los
datos personales del mismo o constatar, en su caso, que se produce alguna de las
excepciones al consentimiento previstas por la normativa vigente, puesto que debe
estar en disposición de justificar tales circunstancias.
A este respecto, la Audiencia Nacional, en sentencia de fecha 31/05/2006
señaló lo siguiente: ?Por otra parte es el responsable del tratamiento (por todas,
sentencia de esta Sala de 25 de octubre de 2002 Rec. 185/2001) a quien corresponde
asegurarse de que aquel a quien se solicita el consentimiento, efectivamente lo da, y
que esa persona que está dando el consentimiento es efectivamente el titular de esos
datos personales, debiendo conservar la prueba del cumplimiento de la obligación a
disposición de la Administración, encargada de velar por el cumplimiento de la ley?.
Por otra parte, el artículo 6 del Reglamento General de Protección de Datos,
Reglamento (UE) 2016/679, norma aplicable a partir del 25 de mayo de 2018,
establece que el tratamiento de datos personales ?solo será lícito si se cumple la
menos una de las siguientes condiciones?: ?a) el interesado dio su consentimiento
para el tratamiento de sus datos personales para uno varios fines específicos; b) el
tratamiento es necesario para la ejecución de un contrato en el que le interesado es
parte o para la aplicación a petición de este de medidas precontractuales? ? (?);
fijando en su artículo 7.1) en relación con el consentimiento del interesado que ?el
responsable deberá ser capaz de demostrar que aquel consintió el tratamiento de sus
datos personales.?
En este supuesto, el denunciado creó un grupo de mensajería instantánea que
ha supuesto un tratamiento de datos de carácter personal no consentido por parte de
los titulares de dichos datos, y que concernía a la siguiente información personal de
los participantes en el mismo: números de teléfono móvil, fotos de perfil y nombres o
datos identificativos de usuario utilizados por éstos, la cual, además, resultaba
accesible a todos sus integrantes desde el propio grupo.
IV
En el presente caso, Don A.A.A. no ha acreditado mediante ningún medio de
prueba que contaba con el consentimiento de la denunciante para tratar sus datos de
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
8/14
carácter personal con la finalidad de incluirlos en el mencionado grupo de mensajería
instantánea. Téngase en cuenta que dicho administrador no ha justificado el origen de
los datos de la afectada tratados, puesto que no ha acreditado la existencia del
contacto comercial mantenido por la misma con la empresa C.C.C. Madrid, S.L. que
supuestamente dio lugar a que el denunciado visitase una Mancomunidad de
Propietarios en Tres Cantos para realizar un presupuesto solicitado por la
denunciante. Asimismo, tampoco ha presentado la tarjeta que ha indicado le fue
entregada por la denunciante ( hecho probado nº 6). A lo que se suma que la
denunciante ha indicado en su denuncia que ?Esta mañana me he encontrado dentro
de un grupo de Whatsapp que ha creado una empresa que yo no conozco ni he
autorizado para que use mis datos?.
Asimismo, el denunciado no ha justificado mediante ningún medio de prueba
que mediase el consentimiento del resto de afectados para tratar sus datos
personales incluyéndolos en un grupo de whatsapp. Precisamente, el hecho de
manifestar que utilizó los datos de contacto (teléfonos móviles) que aparecían
publicados con fines de información en páginas web de los propios interesados
acredita que el denunciado utilizó dichos datos sin mediar el consentimiento
inequívoco de sus titulares, ya que las páginas web de Internet no tienen la
consideración de ?Fuentes accesibles al público? en la LOPD.
El artículo 3.j) de la LOPD define como ?Fuentes accesibles al público:
aquellos ficheros cuya consulta puede ser realizada, por cualquier persona, no
impedida por una norma limitativa o sin más exigencia que, en su caso, el abono de
una contraprestación. Tienen la consideración de fuentes de acceso público,
exclusivamente, el censo promocional, los repertorios telefónicos en los términos
previstos por su normativa específica y las listas de personas pertenecientes a grupos
de profesionales que contengan únicamente los datos de nombre, título, profesión,
actividad, grado académico, dirección e indicación de su pertenencia al grupo.
Asimismo, tienen el carácter de fuentes de acceso público los diarios y boletines
oficiales y los medios de comunicación.?
Por su parte, el artículo 7 del
por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13
de diciembre, de protección de datos de carácter personal, define como ?Fuentes
accesibles al público?:
?1. A efectos del artículo 3, párrafo j) de la Ley Orgánica 15/1999, se entenderá
que sólo tendrán el carácter de fuentes accesibles al público:
a) El censo promocional, regulado conforme a lo dispuesto en la Ley Orgánica
15/1999, de 13 de diciembre.
b) Las guías de servicios de comunicaciones electrónicas, en los términos
previstos por su normativa específica.
c) Las listas de personas pertenecientes a grupos de profesionales que
contengan únicamente los datos de nombre, título, profesión, actividad, grado
académico, dirección profesional e indicación de su pertenencia al grupo. La dirección
profesional podrá incluir los datos del domicilio postal completo, número telefónico,
número de fax y dirección electrónica. En el caso de Colegios profesionales, podrán
indicarse como datos de pertenencia al grupo los de número de colegiado, fecha de
incorporación y situación de ejercicio profesional.
d) Los diarios y boletines oficiales.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
9/14
e) Los medios de comunicación social.
2. En todo caso, para que los supuestos enumerados en el apartado anterior
puedan ser considerados fuentes accesibles al público, será preciso que su consulta
pueda ser realizada por cualquier persona, no impedida por una norma limitativa, o sin
más exigencia que, en su caso, el abono de una contraprestación. ?
De lo que se desprende que al no proceder los datos personales tratados
de fuentes accesibles al público y no haberse justificado por el responsable del
tratamiento que su utilización fuera necesaria para la satisfacción de un interés
legítimo del mismo, no se produce la excepción a la obtención del consentimiento
recogida en el apartado 2 del artículo 6 de la LOPD a la que, sin citar expresamente,
se refería el denunciado al señalar los datos ?aparecen publicados en páginas
web? o se obtuvieron de ?fuentes públicas de los propios interesados?.
La publicación de datos personales en páginas web como datos de contacto a
fin de que los usuarios de los portales puedan obtener información complementaria
sobre los servicios ofrecidos no conlleva la prestación del consentimiento de los
titulares de los mismos para usos distintos, por lo que el denunciado no estaba
exento de haber obtenido el consentimiento de los afectados cuyos números de
teléfono móvil utilizó para crear un grupo de Whatsapp.
En consecuencia, a la vista de lo expuesto el denunciado no contaba con el
consentimiento de las personas que incluyó en dicho grupo para tratar sus datos
personales con esa finalidad concreta, motivo por el cual dicho tratamiento se realizó
sin mediar el consentimiento inequívoco de los afectados ni concurrir alguna de las
excepciones al consentimiento contempladas en el aparatado 2 del artículo 6 de la
LOPD.
V
El artículo 44.3.b) de la LOPD califica como infracción grave: ?Tratar datos de
carácter personal sin recabar el consentimiento de las personas afectadas, cuando el
mismo sea necesario conforme a lo dispuesto en esta Ley y sus disposiciones de
desarrollo?.
De acuerdo con lo expuesto, se considera que el tratamiento efectuado por
Don A.A.A. al crear el grupo de Whatsapp en cuestión sin mediar el consentimiento
de los afectados que lo integraban, vulnera, a título de culpa, el principio del
consentimiento consagrado en el artículo 6.1 de la LOPD, conducta que encuentra
su tipificación en el artículo 44.3.b) de la citada Ley Orgánica.
VI
Asimismo, el presente procedimiento tiene por objeto determinar las
responsabilidades que se derivan de la revelación de datos de carácter personal de
la denunciante al resto de integrantes del grupo de Whatssap estudiado, cuyos
datos personales también fueron revelados tanto a la denunciante como a los demás
miembros del grupo, y que se creó a iniciativa propia del administrador del mismo, no
constando probada la existencia de ningún tipo de relación entre ellos.
El artículo 10 de la LOPD dispone: ?El responsable del fichero y quienes
intervengan en cualquier fase del tratamiento de los datos de carácter personal están
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
10/14
obligados al secreto profesional respecto de los mismos y al deber de guardarlos,
obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del
fichero o, en su caso, con el responsable del mismo?.
Dado el contenido de este precepto, ha de entenderse que el mismo tiene
como finalidad evitar que, por parte de quienes están en contacto con los datos
personales almacenados en ficheros, se realicen filtraciones de los datos no
consentidas por los titulares de los mismos a terceros. Este deber de secreto, que
incumbe no sólo a los responsables de los ficheros sino a todos aquellos que
intervengan en cualquier fase del tratamiento de los datos de carácter personal,
comporta que el responsable de los datos almacenados no pueda revelar ni dar a
conocer su contenido teniendo el ?deber de guardarlos, obligaciones que subsistirán
aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el
responsable del mismo?, de modo que los datos tratados no puedan ser conocidos por
ninguna persona o entidad ajena fuera de los casos autorizados por la Ley, pues en
eso consiste precisamente el secreto.
Así el Tribunal Superior de Justicia de Madrid declaró que: ?El deber de
guardar secreto del artículo 10 queda definido por el carácter personal del dato
integrado en el fichero, de cuyo secreto sólo tiene facultad de disposición el sujeto
afectado, pues no en vano el derecho a la intimidad es un derecho individual y no
colectivo. Por ello es igualmente ilícita la comunicación a cualquier tercero, con
independencia de la relación que mantenga con él la persona a que se refiera la
información (...)?.
Este deber de sigilo resulta esencial en las sociedades actuales cada vez más
complejas, en las que las personas están situadas, cada vez más, en zonas de riesgo
para la protección de derechos fundamentales, como la intimidad o el derecho a la
protección de los datos que recoge el artículo 18.4 de la
efecto, este precepto contiene un ?instituto de garantía de los derechos de los
ciudadanos que, además, es en sí mismo un derecho o libertad fundamental, el
derecho a la libertad frente a las potenciales agresiones a la dignidad y a la libertad de
la persona provenientes de un uso ilegítimo del tratamiento mecanizado de datos?
(Sentencia del Tribunal Constitucional 292/2000, de 30/11). Este derecho fundamental
a la protección de datos persigue garantizar a esa persona un poder de control sobre
sus datos personales, sobre su uso y destino que impida que se produzcan
situaciones atentatorias con la dignidad de la persona, es decir, el poder de resguardar
su vida privada de una publicidad no querida.
En este sentido el deber de sigilo como se señala en las SSAN, Sec. 1ª, de 14
de septiembre de 2002 (Rec.196/00), 13 de abril de 2005 (Rec. 230/2003), 18 de julio
de 2007 (Rec. 377/2005 ) "es una exigencia elemental y anterior al propio
reconocimiento del derecho fundamental a la libertad informática a que se refiere la
STC 292/2000 (...) Este deber de sigilo resulta esencial en las sociedades actuales
cada vez más complejas, en las que los avances de la técnica sitúan a la persona en
zonas de riesgo para la protección de los derechos fundamentales, como la intimidad
o el derecho a la protección de datos que recoge el artículo 18.4 de la
En este caso, ese deber de secreto o confidencialidad comporta que el
creador del grupo, responsable de la custodia de los datos de carácter personal de
los afectados objeto de tratamiento, no puede revelarlos a terceros, salvo con
consentimiento de los mismos o en los casos autorizados por la ley (artículos 11 y 12
de la LOPD).
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
11/14
Sin embargo, el uso por Don A.A.A. del teléfono móvil de la denunciante y
del resto de afectados para crear, sin consentimiento de los mismos, un grupo de
mensajería instantánea convierte al administrador del citado grupo en responsable
de la difusión entre los miembros del grupo de la información personal concerniente a
los números de teléfono móvil, fotos de perfil y nombres o datos identificativos de
usuario utilizados por éstos que resulta accesible desde el propio grupo.
En el presente caso, la creación del reseñado grupo de Whatsapp permitió el
acceso por parte de terceros a datos personales relativos a la denunciante y a la
inversa, ya que ésta accedió a información de carácter personal concerniente al resto
de miembros, según el detalle que conste en los hechos probados, cuestión que ha
quedado acreditada en el presente procedimiento.
VII
El artículo 44.3.d) de la LOPD, califica como infracción grave: ?La vulneración
del deber de guardar secreto acerca del tratamiento de los datos de carácter personal
al que se refiere el artículo 10 de la presente Ley.?
De acuerdo con lo expuesto en el anterior fundamento de Derecho, Don
A.A.A., administrador del reseñado grupo de Whatsapp, ha infringido el deber de
secreto garantizado en el artículo 10 de la LOPD, toda vez que resulta responsable de
revelar a los integrantes del mismo los datos personales del resto de miembros,
puesto que ha posibilitado a cada uno de ellos el acceso a la información de
carácter personal anteriormente indicada concerniente a los restantes integrantes,
todo ello sin acreditar mediante ningún medio de prueba que mediara el
consentimiento de los afectados para ello ni ha justificado que dicho tratamiento de
datos estuviera legalmente habilitado.
VIII
El artículo 45.6 de la LOPD establece lo siguiente:
?Excepcionalmente el órgano sancionador podrá, previa audiencia de los
interesados y atendida la naturaleza de los hechos y la concurrencia significativa de
los criterios establecidos en el apartado anterior, no acordar la apertura del
procedimiento sancionador, y en su lugar, apercibir al sujeto responsable a fin de que,
en el plazo que el órgano sancionador determine, acredite la adopción de las medidas
correctoras que en cada caso resultasen pertinentes, siempre que concurran los
siguientes presupuestos:
a) que los hechos fuesen constitutivos de infracción leve o grave conforme a lo
dispuesto en esta Ley.
b) que el infractor no hubiese sido sancionado o apercibido con anterioridad.
Si el apercibimiento no fuera atendido en el plazo que el órgano sancionador
hubiera determinado procederá la apertura del correspondiente procedimiento
sancionador por dicho incumplimiento?.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
12/14
A este respecto, procede considerar lo establecido en el artículo 45.4 y 5 de la
LOPD:
?4. La cuantía de las sanciones se graduará atendiendo a los siguientes
criterios:
a El carácter continuado de la infracción.
b El volumen de los tratamientos efectuados.
c La vinculación de la actividad del infractor con la realización de tratamientos
de datos de carácter personal.
d El volumen de negocio o actividad del infractor.
e Los beneficios obtenidos como consecuencia de la comisión de la
infracción.
f El grado de intencionalidad.
g La reincidencia por comisión de infracciones de la misma naturaleza.
h) La naturaleza de los perjuicios causados a las personas interesadas o a
terceras personas.
i) La acreditación de que con anterioridad a los hechos constitutivos de
infracción la entidad imputada tenía implantados procedimientos adecuados de
actuación en la recogida y tratamiento de IOS datos de carácter personal, siendo la
infracción consecuencia de una anomalía en el funcionamiento de dichos
procedimientos no debida a una falta de diligencia exigible al infractor.
j) Cualquier otra circunstancia que sea relevante para determinar el grado de
antijuridicidad y de culpabilidad presentes en la concreta actuación infractora.
5. El órgano sancionador establecerá la cuantía de la sanción aplicando la
escala relativa a la clase de infracciones que preceda inmediatamente en gravedad a
aquella en que se integra la considerada en el caso de que se trate, en los siguientes
supuestos:
a Cuando se aprecie una cualificada disminución de la culpabilidad del
imputado o de la antijuridicidad del hecho como consecuencia de la
concurrencia significativa de varios de los criterios enunciados en el
apartado 4 de este artículo.
b Cuando la entidad infractora haya regularizado la situación irregular de
forma diligente.
c Cuando pueda apreciarse que la conducta del afectado ha podido inducir a
la comisión de la infracción.
d Cuando el infractor haya reconocido espontáneamente su culpabilidad.
e Cuando se haya producido un proceso de fusión por absorción y la
infracción fuese anterior a dicho proceso, no siendo imputable a la entidad
absorbente?.
Trasladando las consideraciones expuestas al supuesto que nos ocupa, se
observa que las infracciones de cuya comisión se responsabiliza a Don A.A.A. están
calificadas como infracción ?grave? y que dicha persona no ha sido sancionada o
apercibida por esta Agencia en ninguna ocasión anterior. Junto a ello, se constata una
cualificada disminución de la culpabilidad del mismo al concurrir, de manera
significativa, varias de los criterios enunciados en el artículo 45.4 de la LOPD.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
13/14
Concretamente, se tiene en cuenta que Don A.A.A. no tiene como actividad principal
el tratamiento de datos personales, la ausencia de beneficios obtenidos por la
comisión de las infracciones citadas y la falta de pruebas relativas a la existencia de
perjuicios causados a las personas interesadas o a terceras personas. Todo ello, unido
a la naturaleza de los hechos que nos ocupan, justifica que la AEPD opte por aplicar
el artículo 45.6 de la LOPD.
IX
Ahora bien, es obligado hacer mención a la Sentencia de la Audiencia Nacional
de 29/11/2013, (Rec. 455/2011), Fundamento de Derecho Sexto, que sobre el
apercibimiento regulado en el artículo 45.6 de la LOPD y a propósito de su naturaleza
jurídica advierte que ?no constituye una sanción? y que se trata de ?medidas
correctoras de cesación de la actividad constitutiva de la infracción? que sustituyen a la
sanción. La Sentencia entiende que el artículo 45.6 de la LOPD confiere a la AEPD
una ?potestad? diferente de la sancionadora cuyo ejercicio se condiciona a la
concurrencia de las especiales circunstancias descritas en el precepto.
En congruencia con la naturaleza atribuida al apercibimiento como una
alternativa a la sanción cuando, atendidas las circunstancias del caso, el sujeto de la
infracción no es merecedor de aquella y cuyo objeto es la imposición de medidas
correctoras, la SAN citada concluye que cuando no se requieran medidas correctoras,
lo procedente en Derecho es acordar el archivo de las actuaciones.
En este caso concreto, atendida la naturaleza de la infracción y habida cuenta
que el administrador del grupo ha comunicado que procedió a eliminar el grupo de
Whatsapp tras una petición de uno de los contactos en tal sentido, debe procederse
en consecuencia, a resolver el archivo de las actuaciones, sin practicar apercibimiento
o requerimiento alguno a Don A.A.A., en aplicación de la interpretación del artículo
45.6 de la LOPD, atendida su interpretación sistemática y teleológica.
De acuerdo con lo señalado,
Por la Directora de la Agencia Española de Protección de Datos,
SE ACUERDA:
1.- ARCHIVAR el procedimiento A/00163/2018 seguido contra Don A.A.A., con
arreglo a lo dispuesto en el artículo 45.6 de la Ley Orgánica 15/1999, de 13 de
diciembre, de Protección de Datos de Carácter Personal, con relación a la denuncia
por infracción de sus artículos 6.1 y 10, infracciones tipificadas, respectivamente,
como graves en los artículos 44.3.b) y 44.3.d) de dicha norma.
2.- NOTIFICAR el presente Acuerdo a Don A.A.A. y a Dña. B.B.B.
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es
14/14
De conformidad con lo establecido en el apartado 2 del artículo 37 de la LOPD,
en la redacción dada por el artículo 82 de la
medidas fiscales, administrativas y del orden social, la presente Resolución se hará
pública, una vez haya sido notificada a los interesados. La publicación se realizará
conforme a lo previsto en la Instrucción 1/2004, de 22 de diciembre, de la Agencia
Española de Protección de Datos sobre publicación de sus Resoluciones y con arreglo
a lo dispuesto en el artículo 116 del reglamento de desarrollo de la LOPD aprobado
por el Real Decreto 1720/2007, de 21 diciembre.
Contra esta resolución, que pone fin a la vía administrativa (artículo 48.2 de la
LOPD), y de conformidad con lo establecido en los artículos 112 y 123 de la Ley
39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las
Administraciones Públicas, los interesados podrán interponer, potestativamente,
recurso de reposición ante la Directora de la Agencia Española de Protección de Datos
en el plazo de un mes a contar desde el día siguiente a la notificación de esta
resolución, o, directamente recurso contencioso administrativo ante la Sala de lo
Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el
artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de
13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa, en el plazo de
dos meses a contar desde el día siguiente a la notificación de esta acto, según lo
previsto en el artículo 46.1 del referido texto legal.
Mar España Martí
Directora de la Agencia Española de Protección de Datos
C/ Jorge Juan, 6 www.agpd.es
28001 ? Madrid sedeagpd.gob.es