Para la agencia española de protección de datos (AEPD), la legitimación para el tratamiento de los datos personales puede encontrarse en cualquiera de los apartados del art. 6.1 del RGPD, siempre que respete los principios establecidos en el art. 5 del RGPD.
La reclamación se concreta en la inclusión sin el consentimiento del trabajador en dos grupos de WhatsApp donde se publican datos relativos a las rutas de reparto, las personas que la realizan, las horas, la ubicación de las furgonetas al terminar la jornada laboral y diversa información laboral. Todos los integrantes de los grupos tienen acceso a esta información de los demás compañeros.
La legitimación para el tratamiento de los datos personales puede encontrarse en cualquiera de los apartados señalados en el apartado 1 del artículo 6 del RGPD referenciado. En el ámbito de las relaciones laborales, el tratamiento de los datos personales se basa jurídicamente, de forma principal, en la ejecución del contrato de trabajo, aunque ciertos datos también podrán tratarse para cumplir las exigencias impuestas por la ley o por un convenio colectivo.
El tratamiento de los datos personales debe respetar los principios establecidos en el artículo 5 del RGPD referenciado. En este supuesto son de destacar del principio de minimización de datos, debiendo ser los adecuados, pertinentes y limitados a lo necesario en relación con los fines perseguidos; y el de confidencialidad, que no vayan a ser accedidos por personas ajenas al grupo de trabajo.
Para la AEPD, en la resolución AEPD n.º EXP202105690 de 9 de enero de 2023 «los datos objeto de tratamiento son los mínimos necesarios para la organización del trabajo particular llevado a cabo por la parte reclamada, que ha informado a los trabajadores de la finalidad del tratamiento en los grupos de WhatsApp creados con la finalidad de utilizar esta vía de comunicación en asuntos relacionados con el contrato de trabajo, condiciones laborales, organización y desarrollo de tareas de trabajo y reparto y manteniendo la confidencialidad sobre ellos». Por lo tanto, no se han encontrado evidencias que acrediten la existencia de infracción en el ámbito competencial de la Agencia Española de Protección de Datos.
