La Agencia Española de Protección de Datos (en adelante AEPD) ha impuesto una sanción de 5.000 euros a una entidad en la que un empleado grabó una conversación telefónica con un cliente y que, a través de un correo electrónico, este tuvo conocimiento de los hechos, de los que no fue informado.
Así pues, el motivo en que se basa la reclamación es en el hecho de que el cliente mantuvo una conversación telefónica con un empleado de la entidad reclamada y que, a través de un email remitido por un representante de la entidad, tuvo conocimiento de que su conversación fue grabada, hecho del que no se le informó. De la mencionada reclamación se dio traslado a la parte reclamada (la entidad) y, transcurrido el plazo para la formulación de alegaciones, no se recibió ninguna respuesta.
Sea como sea, ¿incumple la protección de datos grabar una conversación telefónica con un cliente? Pues bien, en este caso concreto la respuesta es que sí, ya que la entidad reclamada no solicitó el consentimiento con carácter previo, hecho que supone una vulneración del art. 5.1.c) del Reglamento General de Protección de Datos (o RGPD) en cuanto a los principios relativos al tratamiento (minimización de los datos).
En concreto, el RGPD en su artículo 5, “Principios relativos al tratamiento” dice que “Los datos personales serán: a) tratados de manera lícita, leal y transparente en relación con el interesado («licitud, lealtad y transparencia»);
b) recogidos con fines determinados, explícitos y legítimos, y no serán tratados ulteriormente de manera incompatible con dichos fines; de acuerdo con el artículo 89, apartado 1, el tratamiento ulterior de los datos personales con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos no se considerará incompatible con los fines iniciales («limitación de la finalidad»);
c) adecuados, pertinentes y limitados a lo necesario en relación con los fines para los que son tratados («minimización de datos»);
d) exactos y, si fuera necesario, actualizados; se adoptarán todas las medidas razonables para que se supriman o rectifiquen sin dilación los datos personales que sean inexactos con respecto a los fines para los que se tratan («exactitud»);
e) mantenidos de forma que se permita la identificación de los interesados durante no más tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podrán conservarse durante períodos más largos siempre que se traten exclusivamente con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, de conformidad con el artículo 89, apartado 1, sin perjuicio de la aplicación de las medidas técnicas y organizativas apropiadas que impone el presente Reglamento a fin de proteger los derechos y libertades del interesado («limitación del plazo de conservación»);
f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).
2. El responsable del tratamiento será responsable del cumplimiento de lo dispuesto en el apartado 1 y capaz de demostrarlo («responsabilidad proactiva»).”
Por lo tanto, la AEPD considera que la entidad reclamada ha vulnerado el artículo 5.1 c) del RGPD, ya que ha grabado la voz del cliente, sin comunicárselo previamente, ni solicitar su consentimiento.
Asimismo, la entidad reclamada no contestó al requerimiento presentado por la AEPD, pese a tener constancia de su recepción. La entidad reclamada, por tanto, no ha aportado pruebas en contra de lo afirmado por el cliente, como por ejemplo copia de la grabación de la conversación, como documento que permita constatar que lo indicado por el reclamante no es cierto. De esta forma, la AEPD no obtuvo respuesta al requerimiento presentado, de manera que no se aportaron pruebas en contra de la afirmación del cliente.
Por último, es importante resaltar que grabar la voz de los clientes sin previo aviso y sin su consentimiento atenta contra el derecho a la intimidad de terceros, y no responder a los requerimientos de la AEPD, puede entenderse como no colaboración con este organismo, siendo considerada una actitud entorpecedora que influye a la hora de valorar una sanción de naturaleza económica. La infracción de la que se responsabiliza a la entidad está prevista en el artículo 83.5 del RGPD que establece que: “Las infracciones de las disposiciones siguientes se sancionarán, de acuerdo con el apartado 2, con multas administrativas de 20.000.000 euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.
En conclusión, claramente incumple la protección de datos grabar una conversación telefónica con un cliente, sin comunicárselo previamente ni solicitar su consentimiento, ya que supone la vulneración del artículo 5.1 c) del RGPD y, además, atenta contra el derecho a la intimidad de terceros. Además, no responder los requerimientos de la AEPD, nunca es buena opción, ya que se tienen en cuenta a la hora de cuantificar la sanción, que en este caso ascendió hasta los 5.000 euros. Por tanto, vayamos con ojo y no no grabemos las conversaciones con nuestros clientes.
