Incluir a los trabajadores en un grupo de WhatsApp de la empresa no vulnera la normativa de protección de datos

La inclusión de un trabajador en un grupo de WhatsApp de la empresa puede ser legítima en lo que respecta al tratamiento de los datos
Incluir a un trabajador en un grupo de WhatsApp de la empresa no infringe la normativa de protección de datos

Los grupos de WhatsApp forman parte ya de nuestro día a día. Todo el mundo está incluido en grupos con amigos o familiares, pero… ¿Qué pasa en el ámbito laboral? ¿Un grupo de WhatsApp de la empresa puede ser una herramienta de comunicación legítima? ¿Incluir a los trabajadores en un grupo de WhatsApp de la empresa vulnera la normativa de protección de datos?

La Agencia Española de Protección de datos (AEPD) ha resuelto archivar la reclamación del trabajador de una compañía que había sido incluido en dos grupos de WhatsApp de la empresa, junto a sus compañeros, con el objetivo de coordinar, controlar y organizar sus tareas.

La legitimidad del tratamiento de datos en un grupo de WhatsApp de la empresa

La actividad de la empresa consiste en el reparto y entrega de paquetería. Y sus alegaciones se fundamentan en que la legitimación de este tratamiento de datos se basa en que en dichos grupos de la red de mensajería se publican (para los trabajadores) datos relativos a:

  • Las rutas de reparto
  • Los encargados de llevarlas a cabo
  • Las horas
  • La ubicación de las furgonetas, etc.

Todos estos datos que se incluyen en el grupo de WhatsApp de la empresa constituyen «información que necesitan para desarrollar su relación laboral». Y a la que, como todos sabemos, tienen acceso todos sus compañeros que también son miembros del grupo. Además de considerar esta comunicación entre las partes «imprescindible» para el trabajo.

Por su parte, la Agencia Española de Protección de Datos, parece dar validez a la alegación de la empresa de que este tratamiento de datos es necesario para llevar a cabo la actividad. La AEPD sustenta su decisión en:

  1. El artículo 6.1.b) del Reglamento General de Protección de Datos (RGPD), esto es, en que este tratamiento «es necesario para la ejecución de un contrato en el que el interesado es parte…».
  2. Los diferentes apartados del artículo 5 del Reglamento General de Protección de Datos (RGPD), el principio de minimización, finalidad e integridad y confidencialidad. Todos ellos cumplidos al ser los mínimos datos necesarios (nombre y teléfono), al haberse informado a los trabajadores del fin del tratamiento (asuntos relacionados con el contrato de trabajo, condiciones, organización y desarrollo de tareas) al incluirlos en los grupos y manteniendo la confidencialidad.
La AEPD ha validado la inclusión del trabajador de una compañía de reparto en un grupo de WhatsApp de la empresa sin haberlo acordado con él antes

Cambio de criterio en el uso de dispositivos móviles

El caso que nos describe esta nueva resolución nos da a entender que se ha producido un cambio de criterio o, como mínimo, se modifican matices respecto de la opinión de la Agencia en lo que a uso de dispositivos móviles y sus herramientas se refiere.

En este sentido, podemos hablar de varios supuestos como los que vamos a exponer a continuación.

Del acuerdo a la actuación unilateral

El primero supuesto es el referenciado en la Resolución R/00026/2021. Al hablar de comunicación entre empresarios y trabajadores, para los casos en que los segundos realicen sus funciones fuera de la sede laboral, el criterio venía siendo que era necesario que ambas partes llegasen a un acuerdo para establecer el «medio de comunicación más ágil, eficaz y operativo para las comunicaciones» con el fin de que resulte útil en situaciones de urgencia o que exijan una actuación inmediata. Siguiendo este criterio, la inclusión de trabajadores en un grupo de WhatsApp de la empresa debería acordarse previamente con ellos.

¿Cuál es entonces el cambio?

Que veníamos de un criterio centrado en el acuerdo entre las partes, situación de la que se deduce que habría consentimiento del trabajador para un fin específico. Y, por tanto, se cumpliría el primero de los supuestos de licitud del tratamiento del 6.1 RGPD.

Mientras que ahora pasamos a un escenario que permite, cuando sea necesario para prestar el servicio, que sea la empresa unilateralmente la que decida y actúe acorde a lo que considere más oportuno para los intereses generales.

El móvil personal como factor de autenticación

Otro supuesto que podemos señalar es el caso del Ayuntamiento de Madrid, en el que la AEPD sancionó con apercibimiento a este Ente por utilizar el teléfono personal de los empleados públicos como segundo factor de autenticación (proceso por el que se confirma la identidad por varias vías). Previa comunicación interna solicitando se cumplimentase un Excel a efectos de aportar ese dato personal. En este caso, considera la Agencia que no está legitimado el tratamiento al no concurrir ninguna de las bases del artículo 6.1 del Reglamento General de Protección de Datos.

Habida cuenta de lo que hemos expuesto, parece deducirse, como conclusión, que efectivamente estamos ante un cambio de criterio que puede traer cola. Puesto que hablamos de los efectos de la utilización tanto de los dispositivos móviles como de herramientas como WhatsApp tan absolutamente extendidas debido a su inmediatez y gratuidad.

Por ello, la legitimidad del tratamiento de datos, a la hora de incluir a los trabajadores en un grupo de WhatsApp de la empresa supone un antes y un después en lo relativo a la protección de datos en el ámbito laboral. Veremos con qué nos encontramos a partir de hoy.