La Agencia Española de Protección de Datos, en su Resolución PS-00158-2023, sanciona a una clínica estética por vulnerar el principio de confidencialidad del artículo 5.1.f) del RGPD, tras la inclusión de clientes en un grupo de WhatsApp con fines promocionales sin adoptar las medidas adecuadas para garantizar la confidencialidad de los datos personales.
Los hechos se originan cuando la entidad reclamada creó un grupo de mensajería instantánea denominado “Medicina Estética 2”, en el que incorporó los números de teléfono de numerosos clientes, incluidos los reclamantes, permitiendo que todos los integrantes pudieran visualizar los datos personales del resto. La AEPD acreditó que el grupo fue creado sin base jurídica ni consentimiento expreso.
La autoridad de control subraya que, aunque el responsable podía tratar los datos con base en la ejecución del contrato o en su interés legítimo para promociones comerciales, estaba obligado a garantizar la confidencialidad.
La infracción reviste especial gravedad al afectar a datos de salud, categoría especial del artículo 9 del RGPD. En consecuencia, la AEPD impuso una multa de 30.000 euros y ordenó la eliminación del grupo y la implantación de sistemas de comunicación que impidan la visibilidad de los datos entre destinatarios.
El artículo 5.1.f del RGPD exige que los datos personales se traten garantizando su seguridad y confidencialidad, evitando accesos, comunicaciones o usos no autorizados.