La Agencia Española de Protección de Datos (AEPD) sancionó con 3.000 euros a una empresa por incluir en un grupo de WhatsApp, en el que había 150 personas, a un usuario sin consentimiento, lo que permitió que todas ellas pudiesen visualizar los datos personales del resto, tales como números de teléfono, sus “alias”, y sus fotografías de perfil.
La AEPD recuerda que, de conformidad con lo dispuesto en el artículo 6 del Reglamento General de Protección de Datos (RGPD, para que un tratamiento de datos se considere lícito se requiere la existencia de una base legal que lo legitime, y en el caso examinado «no se desprende la existencia de alguna causa que legitime el tratamiento de los datos personales de la parte reclamante».
Además de la sanción de 3.000 euros, la AEPD requirió a la empresa para que en el plazo de dos meses implementara medidas técnicas y organizativas de seguridad que impidan la creación de grupos de mensajería instantánea sin consentimiento que permitan la revelación de datos personales asociados a sus participantes, así como la eliminación de aquellos datos de quienes no hayan prestado su consentimiento expreso para formar parte del mismo.