WhatsApp y email en pymes: dos errores cotidianos que acaban en sanción GDPR

Sanjiv Sharma
En esta página

Introducción

En muchas pymes, WhatsApp y el email son las herramientas principales de trabajo. Precisamente por eso, son también una de las principales fuentes de sanciones de la AEPD.

No hablamos de ciberataques ni de grandes filtraciones, sino de errores diarios, cometidos “sin mala intención”, que han terminado en multas reales.

En este artículo analizamos dos casos reales, con sanciones asumibles en cifras, pero muy fáciles de evitar.

Caso 1: Grupo de WhatsApp con datos visibles

? Resolución AEPD: PS/00091/2021

Multa: 3.000 €
Tipo de empresa: pyme / entorno laboral

¿Qué ocurrió?

La empresa creó un grupo de WhatsApp para coordinar actividades laborales. En el grupo:

  • Todos los miembros veían los números de teléfono
  • No existía consentimiento expreso
  • No se informó adecuadamente del uso del canal

Un participante denunció la situación ante la AEPD.

No importa si el grupo era “útil” o “práctico”.

¿Cuál fue el error?

  • Compartir datos personales (número de teléfono) sin base legal válida
  • Usar una herramienta personal para fines profesionales sin evaluación de riesgos
  • Falta de información previa a los afectados

Caso 2: Envío de datos personales por email sin medidas mínimas

Resolución AEPD: PS/00312/2020

Multa: 6.000 €
Tipo de empresa: pequeña entidad / profesional

¿Qué ocurrió?

La empresa envió por email datos personales sensibles:

  • Sin cifrado
  • Sin contraseña
  • Sin verificación del destinatario

El correo llegó a una persona incorrecta y se produjo una denuncia.

Email incorrecto, sanción correcta.

¿Cuál fue el error?

  • Pensar que “el email es suficiente”
  • No aplicar medidas proporcionales al tipo de datos
  • No establecer un protocolo interno de envíos

¿Qué dice el GDPR en estos casos?

La AEPD aplicó principalmente:

  • Art. 5 GDPR – confidencialidad e integridad
  • Art. 6 GDPR – falta de base legal adecuada
  • Art. 32 GDPR – ausencia de medidas de seguridad

No se exige tecnología avanzada, pero sí criterio y control.

❌ Errores muy comunes en pymes (que se repiten a diario)

  • ❌ Usar WhatsApp personal para trabajo
  • ❌ Crear grupos sin consentimiento ni normas
  • ❌ Enviar documentos sensibles por email “como siempre”
  • ❌ No verificar destinatarios
  • ❌ Pensar que “esto le pasa solo a empresas grandes”

? En realidad, pasa exactamente al revés.

¿Cómo se habría evitado la sanción?

Con medidas muy sencillas:

Para WhatsApp:

✔️ Usar canales corporativos o alternativos
✔️ Evitar grupos cuando no son imprescindibles
✔️ Informar y documentar el uso
✔️ Minimizar datos visibles

Para email:

✔️ Adjuntos protegidos con contraseña
✔️ Envío separado de clave
✔️ Verificación del destinatario
✔️ Protocolos internos claros

Casi todo es organización, no inversión.

Lección práctica para pymes

WhatsApp y email no son el problema.
Usarlos sin reglas, sí.

La AEPD sanciona la falta de control, no la herramienta.

Checklist rápido

¿Tu empresa cumple esto?

  • ☐ No usamos WhatsApp personal para datos sensibles
  • ☐ Sabemos cuándo se puede (y no se puede) crear un grupo
  • ☐ Protegemos documentos enviados por email
  • ☐ Verificamos destinatarios
  • ☐ El personal sabe qué hacer

Si alguna respuesta es “no”, hay un riesgo real.

Relacionado

  • Casos reales: Videovigilancia en pymes y sanciones AEPD
  • Guía práctica: Comunicación interna y GDPR para pequeñas empresas

CTA suave (consultoría-friendly)

Corregir estos errores suele costar menos que una sola multa de 3.000 €.

Artículos relacionados
Microsoft sancionada pro cookies: lecciones de cumplimiento RGPD para pymes RRHH en pymes: cuando el empleado comete el error… paga la empresa Clínicas pequeñas y centros médicos: accesos internos mal controlados Videovigilancia en pymes: dos errores comunes que acaban en sanción AEPD