Multa a una empresa por añadir sin permiso a un grupo de WhatsApp

En octubre, la AEPD impuso una sanción de 3.000 euros a la compañía Ilurobox S.L. por incluir a una persona en un grupo con 150 integrantes sin su consentimiento previo. La decisión se basó en que esta acción expuso datos personales del usuario —como su número de teléfono, nombre visible y fotografía— a una amplia audiencia sin base legal que lo justificara. La empresa sancionada no presentó alegaciones ni documentación que respaldara su actuación, por lo que la agencia consideró vulnerado el artículo 6 del RGPD, que establece la necesidad de contar con una justificación jurídica para tratar datos personales.

WhatsApp y privacidad: cuando lo que parece cotidiano puede salir caro

La protección de la privacidad digital sigue siendo una prioridad para la Agencia Española de Protección de Datos (AEPD), que en los últimos meses ha endurecido su vigilancia sobre el uso indebido de datos personales en plataformas de mensajería instantánea. Lo que muchos podrían considerar un gesto inocente —como añadir a alguien a un grupo de WhatsApp sin preguntarle— puede derivar en sanciones económicas, si no se respetan los principios establecidos por el Reglamento General de Protección de Datos (RGPD).

Casos que marcan precedentes

Esta no es la única resolución destacada. En abril de 2023, la AEPD multó al Grupo de Seguridad y Control Global con 3.000 euros —rebajados a 1.800 por pronto pago— por distribuir un vídeo de vigilancia en un grupo de WhatsApp. La grabación mostraba a un trabajador sin su autorización y, según la denuncia, fue compartida con la intención de perjudicar su imagen. Aunque la empresa argumentó que su intención era poner los hechos en conocimiento de las autoridades, el organismo regulador concluyó que esa difusión a terceros fue desproporcionada e injustificada.

Por otro lado, una letrada también recibió una multa de 4.000 euros por utilizar resoluciones judiciales como material promocional a través de WhatsApp. En su mensaje se incluían datos personales de terceros sin el debido consentimiento, lo que la AEPD consideró un uso ilegítimo de información especialmente sensible, además de un canal de difusión inadecuado para ese fin.

Un último caso resuelto en Tenerife afectó a la empresa Servicios Integrales del Hogar. Fue sancionada con 5.000 euros —reducidos a 3.000 por pago anticipado— por haber remitido a un familiar de una extrabajadora una notificación sobre un embargo de salario. El mensaje, enviado desde un número particular en lugar de uno corporativo, fue igualmente considerado una falta grave, ya que la empresa no acreditó la existencia de consentimiento por parte de la persona afectada.

El consentimiento no es opcional

La AEPD reitera en todas estas resoluciones la importancia del consentimiento explícito como requisito fundamental para cualquier tratamiento de datos personales. También recuerda que las organizaciones deben adoptar medidas técnicas y organizativas adecuadas para prevenir el uso indebido de información privada. No basta con tener buenas intenciones: la responsabilidad es exigible, y las consecuencias, tangibles.