La Agencia Española de Protección de Datos (AEPD) ha sancionado con 4.000 euros a un club deportivo por incluir el número de teléfono de la reclamante en un grupo de WhatsApp sin su consentimiento, una antigua usuaria del centro deportivo que hace diez años no tiene ninguna relación con el mismo.
En el presente caso se considera que el club deportivo ha tratado datos personales de la reclamante, concretamente el número de teléfono móvil, sin su consentimiento, contraviniendo con ello el artículo 6 del RGPD. Además, pese a no ser cliente desde hace más de diez años, aún siguen conservando sus datos personales, vulnerándose el artículo 5.1 e) del RGPD, ya que en dicho precepto se establece que los datos no podrán conservarse más que el tiempo necesario para la finalidad para la que fueron tomados, y en este caso la reclamante dejó de ser cliente del centro diez años atrás.
Además de lo anterior, facilitar el número de teléfono móvil de la reclamante a terceros, lo que se produce al incluirla en un grupo de WhatsApp, supone una vulneración de su confidencialidad. Ello, además, pone de manifiesto unas medidas de seguridad del reclamado que no son adecuadas a la normativa de protección de datos: la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; así como un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.