En el presente caso un trabajador presentó reclamación ante la Agencia Española de Protección de Datos  denunciando el envío por parte de la empresa de datos personales de clientes a su WhatsApp personal, sin su consentimiento y fuera del horario laboral. El trabajador indica que había advertido en varias ocasiones a la empresa que no autorizaba el uso de su teléfono personal como herramienta de trabajo. Incluso después de haber finalizado su relación laboral, la empresa le realizó por este medio una consulta relativa a la gestión contable de un cliente. La empresa alega que el uso de WhatsApp es una práctica habitual y consentida por los trabajadores desde hace décadas, sin embargo, no aporta pruebas de ello.

La AEPD califica la conducta de la empresa como negligencia grave tanto por los hechos ocurridos durante la relación laboral como por hechos ocurridos una vez finalizada la misma, con base en los siguientes argumentos:

1. El tratamiento de datos personales solo es lícito si se cumple alguna de las bases legales previstas, como el consentimiento del interesado o la necesidad del tratamiento para la ejecución de un contrato (RGPD art.6.1). Una vez finalizada la relación laboral no existe un contrato vigente entre las partes cuya ejecución determine la licitud del tratamiento, y la empresa no ha acreditado que contara con el consentimiento del trabajador para contactar con él.
2. Con independencia del consentimiento y del envío de los mensajes dentro o fuera del horario laboral, la empresa, como responsable del tratamiento de datos, está obligada a adoptar medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales. Sin embargo, no ha implementado medidas para proteger los datos personales de sus clientes, ya que los enviaba al dispositivo personal del trabajador, sin garantizar la confidencialidad ni la seguridad de los datos (RGPD art.32).

Por ello, impone a la empresa una multa de 2.500 € por la falta de consentimiento y otra de la misma cuantía por falta de medidas de seguridad adecuadas.

Además, se requiere a la empresa para que adopte medidas correctivas en un plazo de 3 meses para evitar que se contacte con antiguos trabajadores de sin su consentimiento, así como para adoptar medidas técnicas y organizativas que garanticen la seguridad de los datos de sus clientes, sin que sus datos personales puedan ser enviados a dispositivos privados de los trabajadores sin cumplir las exigencias legalmente previstas.