Cargando. Por favor, espere

Resolución , de 9 de Enero de 2023, de la Agencia Española de Protección de Datos. Nº AI/00050/2022

• Expediente N.o: EXP202105690

RESOLUCIÓN DE ARCHIVO DE ACTUACIONES
De las actuaciones practicadas por la Agencia Española de Protección de Datos y teniendo como base los siguientes

Agencia Española de Protección de Datos

LA LEY 5/2023

PROTECCIÓN DE DATOS. Inclusión de los datos de un trabajador en dos grupos de whatsapp creados por la empleadora en los que se publican datos relativos a las rutas de reparto, las personas que las realizan, ubicación de las furgonetas al terminar la jornada de trabajo y diversa información laboral. Los datos objeto de tratamiento son los mínimos necesarios para la organización del trabajo y la empresa ha informado a los trabajadores de la finalidad del tratamiento de los grupos de whatsapp, manteniendo la confidencialidad de los datos.

HECHOS

PRIMERO: Don A.A.A. (en adelante, la parte reclamante), con fecha 9 de noviembre de 2021, interpuso reclamación ante la Agencia Española de Protección de Datos. La reclamación se dirige contra ARIATHOR LOGISTICS, S.L. con NIF XXX (en adelante, la parte reclamada).

Los motivos en que basa la reclamación son los siguientes:

El reclamante trabaja para la entidad reclamada, ARIATHOR LOGISTICS, S.L. y según afirma, le ha incluido sin su consentimiento en dos grupos de WhatsApp "ARIATHOR LOGISTICS S.L." y "UBICACION DE FURGOS". En los grupos se publican datos relativos a las rutas de reparto, las personas que la realizan, las horas, la ubicación de las furgonetas al terminar la jornada laboral y diversa información laboral. Todos los integrantes de los grupos tienen acceso a esta información de los demás compañeros. Según afirma, en los citados grupos se publica toda la información que necesitan para desarrollar su relación laboral, por esa razón no puede salirse de los grupos.

SEGUNDO: De conformidad con el artículo 65.4 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LA LEY 19303/2018) (en adelante LOPDGDD (LA LEY 19303/2018)), se dio traslado de dicha reclamación a la parte reclamada/ALIAS, para que procediese a su análisis e informase a esta Agencia en el plazo de un mes, de las acciones llevadas a cabo para adecuarse a los requisitos previstos en la normativa de protección de datos.

El traslado, que se practicó conforme a las normas establecidas en la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LA LEY 15010/2015) (en adelante, LPACAP (LA LEY 15010/2015)) mediante notificación electrónica, no fue recogido por el responsable, dentro del plazo de puesta a disposición, entendiéndose rechazada conforme a lo previsto en el art. 43.2 de la LPACAP (LA LEY 15010/2015) en fecha 3 de enero de 2022, como consta en el certificado que obra en el expediente.

Aunque la notificación se practicó válidamente por medios electrónicos, dándose por efectuado el trámite conforme a lo dispuesto en el artículo 41.5 de la LPACAP (LA LEY 15010/2015), a título informativo se envió, en el mes de enero y en dos ocasiones, una copia por correo postal que fueron devueltas por desconocido.

TERCERO: Con fecha 4 de febrero de 2022, de conformidad con el artículo 65 de la LOPDGDD (LA LEY 19303/2018), se admitió a trámite la reclamación presentada por la parte reclamante.

CUARTO: La Subdirección General de Inspección de Datos procedió a la realización de actuaciones previas de investigación para el esclarecimiento de los hechos en cuestión, en virtud de las funciones asignadas a las autoridades de control en el artículo 57.1 y de los poderes otorgados en el artículo 58.1 del Reglamento (UE) 2016/679 (LA LEY 6637/2016) (Reglamento General de Protección de Datos, en adelante RGPD), y de conformidad con lo establecido en el Título VII, Capítulo I, Sección segunda, de la LOPDGDD (LA LEY 19303/2018), teniendo conocimiento de los siguientes extremos:

Respecto de la empresa

La entidad reclamada es una sociedad limitada de nacionalidad española. Según los datos obrantes en AXESOR se trata de una pequeña empresa, no se ha encontrado información del número de empleados, tampoco se sabe el volumen de ventas ya que esta empresa nunca ha depositado cuentas anuales.

Se envió requerimiento de información (incluyendo traslado original) al reclamado que contesta lo siguiente:

"La empresa entiende que la utilización de dispositivos móviles y sus herramientas (en este caso en sistema de mensajería instantánea whastapp), como medio de comunicación interno entre la misma y sus trabajadores, es imprescindible para su trabajo. Dicho trabajo, se realiza fuera de la sede laboral, al consistir el objeto del mismo, el reparto y entrega de paquetería en los domicilios de los destinatarios. (Empresa de Mensajería)

Por otra parte, esta empresa no ha recibido de ningún trabajador hasta la fecha, ninguna solicitud o reclamación respecto a su inclusión en el grupo de wasapp de la Empresa.

En este ámbito, y como medida concreta, la empresa informa expresamente a sus trabajadores de la utilización como canal de comunicaciones de la App de mensajería instantánea WhatsApp, con la finalidad de utilizar esta vía de comunicación en asuntos relacionados con el contrato de trabajo, condiciones laborales, organización y desarrollo de tareas de trabajo y reparto, incluyendo su nombre, apellidos y número de teléfono en el grupo de Whatsapp "ARIATHOR LOGISTICS S.L.", creado con dicha finalidad. Con objeto de evitar conflictos o situaciones no deseadas se solicita su autorización expresa."

FUNDAMENTOS DE DERECHO

I. Competencia De acuerdo con las funciones que el artículo 57.1 a), f) y h) del Reglamento (UE) 2016/679 (LA LEY 6637/2016) (Reglamento general de protección de datos, en adelante RGPD) confiere a cada autoridad de control y según lo dispuesto en los artículos 47 (LA LEY 19303/2018) y 48.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LA LEY 19303/2018) (en lo sucesivo LOPDGDD (LA LEY 19303/2018)), es competente para resolver estas actuaciones de investigación la Directora de la Agencia Española de Protección de Datos.

Asimismo, el artículo 63.2 de la LOPDGDD (LA LEY 19303/2018) determina que: "Los procedimientos tramitados por la Agencia Española de Protección de Datos se regirán por lo dispuesto en el Reglamento (UE) 2016/679 (LA LEY 6637/2016), en la presente ley orgánica, por las disposiciones reglamentarias dictadas en su desarrollo y, en cuanto no las contradigan, con carácter subsidiario, por las normas generales sobre los procedimientos administrativos."

II. Tratamiento de datos Los principios relativos al tratamiento de datos de carácter personal se regulan en el artículo 5 del RGPD (LA LEY 6637/2016) donde se establece que "los datos personales serán:

"a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);

b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»);

c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);

d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»);

e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación»);

f) tratados de tal manera que se garantice una seguridad adecuada de los da- tos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»)."

Por otra parte, el artículo 6.1 del RGPD (LA LEY 6637/2016), que regula la licitud del tratamiento, establece lo siguiente:

"1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:

a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.

Lo dispuesto en la letra f) del párrafo primero no será de aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones.

III. Conclusión La reclamación se concreta en la creación de dos grupos de whatsapp, por parte de la parte reclamada, en el que se ha incluido a la parte reclamante sin su consentimiento. En los grupos se publican datos relativos a las rutas de reparto, las personas que la realizan, las horas, la ubicación de las furgonetas al terminar la jornada laboral y diversa información laboral. Todos los integrantes de los grupos tienen acceso a esta información de los demás compañeros.

La legitimación para el tratamiento de los datos personales puede encontrarse en cualquiera de los apartados señalados en el apartado 1 del artículo 6 del RGPD (LA LEY 6637/2016) referenciado. En el ámbito de las relaciones laborales, el tratamiento de los datos personales se basa jurídicamente, de forma principal, en la ejecución del contrato de trabajo, aunque ciertos datos también podrán tratarse para cumplir las exigencias impuestas por la ley o por un convenio colectivo.

El tratamiento de los datos personales debe respetar los principios establecidos en el artículo 5 del RGPD (LA LEY 6637/2016) referenciado. En este supuesto son de destacar del principio de minimización de datos, debiendo ser los adecuados, pertinentes y limitados a lo necesario en relación con los fines perseguidos; y el de confidencialidad, que no vayan a ser accedidos por personas ajenas al grupo de trabajo.

En el presente caso, los datos objeto de tratamiento son los mínimos necesarios para la organización del trabajo particular llevado a cabo por la parte reclamada, que ha informado a los trabajadores de la finalidad del tratamiento en los grupos de whatsapp creados con la finalidad de utilizar esta vía de comunicación en asuntos relacionados con el contrato de trabajo, condiciones laborales, organización y desarrollo de tareas de trabajo y reparto y manteniendo la confidencialidad sobre ellos.

Por lo tanto, en base a lo indicado en los párrafos anteriores, no se han encontrado evidencias que acrediten la existencia de infracción en el ámbito competencial de la Agencia Española de Protección de Datos.

Así pues, de acuerdo con lo señalado, por la Directora de la Agencia Española de Protección de Datos,

SE ACUERDA:

  • PRIMERO: PROCEDER AL ARCHIVO de las presentes actuaciones.
  • SEGUNDO: NOTIFICAR la presente resolución a Don A.A.A. y ARIATHOR LOGISTICS, S.L.

De conformidad con lo establecido en el artículo 50 de la LOPDGDD (LA LEY 19303/2018), la presente Resolución se hará pública una vez haya sido notificada a los interesados.

Contra esta resolución, que pone fin a la vía administrativa según lo preceptuado por el art. 114.1.c) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas (LA LEY 15010/2015), y de conformidad con lo establecido en los arts. 112 (LA LEY 15010/2015) y 123 de la citada Ley 39/2015, de 1 de octubre (LA LEY 15010/2015), los interesados podrán interponer, potestativamente, recurso de reposición ante la Directora de la Agencia Española de Protección de Datos en el plazo de un mes a contar desde el día siguiente a la notificación de esta resolución o directamente recurso contencioso administrativo ante la Sala de lo Contencioso-administrativo de la Audiencia Nacional, con arreglo a lo dispuesto en el artículo 25 y en el apartado 5 de la disposición adicional cuarta de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa (LA LEY 2689/1998), en el plazo de dos meses a contar desde el día siguiente a la notificación de este acto, según lo previsto en el artículo 46.1 de la referida Ley.

Mar España Martí Directora de la Agencia Española de Protección de Datos

Queremos saber tu opiniónNombreE-mail (no será publicado)ComentarioLA LEY no se hace responsable de las opiniones vertidas en los comentarios. Los comentarios en esta página están moderados, no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos al autor de la página o a cualquier otro comentarista.
Introduce el código que aparece en la imagencaptcha
Enviar
Scroll