Uso de WhatsApp para empresas conforme a la protección de datos
WhatsApp es una plataforma de mensajería privada que fue originalmente diseñada como una herramienta de uso personal para que las personas enviaran mensajes a sus familiares y seres queridos.
Hoy en día, son muchas las empresas que utilizan WhatsApp como herramienta empresarial en su día a día para ponerse en contacto con sus clientes, en el mantenimiento de las relaciones contractuales existentes.
El uso de WhatsApp en la empresa
El uso de WhatsApp es particularmente atractivo para empresas de todos los sectores porque la aplicación está muy extendida entre los usuarios de dispositivos móviles (smartphones). Los casos de uso son numerosos: las empresas de maquinaria pueden enviar una imagen de los defectos por adelantado para que puedan realizar diagnósticos remotos o preparar presupuestos de costos. Las agencias de contratación facilitan la comunicación de sus candidatos y pueden comunicarse fácilmente con los candidatos a través de la aplicación.
La ventaja: se puede llegar mucho mejor a las personas de contacto y a los empleados. Los grupos de WhatsApp entre departamentos son muy activos entre los trabajadores y están muy extendidos.
Lo que muchas veces se pasa por alto es que ponerse en contacto con la cuenta de WhatsApp de un cliente o empleado no significa que sea un proceso que se pueda asignar al área privada. El uso puramente privado de WhatsApp entre amigos o familiares no entra en el ámbito de la LOPDGDD. Sin embargo, si el propósito del contacto es principalmente comercial o laboral, se aplicarán las normas de protección de datos.
Desafíos de protección de datos al usar WhatsApp para empresas
- Todos los contactos almacenados localmente del usuario de WhatsApp se envían a servidores en los EE. UU. La transmisión de estos datos personales requiere el consentimiento expreso de cada persona de contacto, que simplemente falta y, por lo tanto, prohíbe la transferencia de datos.
- Aunque el contenido de la comunicación está cifrado de extremo a extremo, WhatsApp procesa los metadatos en los EE. UU. Los metadatos son información adicional al contenido textual del mensaje, incluido información sobre el remitente y el destinatario del mensaje de WhatsApp.
- En su FAQ sobre protección de datos, WhatsApp confirma que se transmite a Facebook información como el número de teléfono, información sobre los dispositivos utilizados y el tipo y frecuencia de uso. Este intercambio está clasificado como crítico por las autoridades de protección de datos. El pasado 15/03/18 la AEPD sancionó a Facebook y a WhatsApp con 300.000€, porque se comunicaron datos mutuamente sin el consentimiento “libre, específico e informado” de los usuarios. La multa que ha impuesto la AEPD a WhatsApp y Facebook ha determinado que la aplicación no es segura, deja claro que no trata los datos de los usuarios como debería.
- Los términos de uso solo permiten el uso comercial de la aplicación con el consentimiento previo de WhatsApp. WhatsApp lanzó recientemente su nuevo producto «WhatsApp Business», que, sin embargo, no trae ninguna mejora en la ley de protección de datos.
La LOPDGDD prevé algunas medidas para proteger los datos personales de los usuarios, que WhatsApp actualmente no cumple.
Las deficiencias en la confidencialidad que pueden darse en WhatsApp respecto a la ley de protección de datos han llevado a grandes corporaciones a prohibir el uso de WhatsApp en los teléfonos móviles del trabajo.
¿ WhatsApp es compatible con la protección de datos en las empresas?
En vista de las preocupaciones enumeradas anteriormente, surge la pregunta de si las empresas pueden usar WhatsApp de manera que cumpla con la protección de datos. Bajo ciertas condiciones, las empresas pueden al menos usar WhatsApp para comunicarse con socios comerciales externos o permitir que los empleados usen teléfonos móviles de la empresa.
Si la empresa ha creado un grupo para comunicaciones internas con sus empleados:
- Debe avisar previamente a todos los miembros.
- La inclusión en el grupo ha de ser completamente voluntaria
En la primera comunicación que se realice con los miembros del grupo es recomendable que figure cierta información legal «primera capa». Un ejemplo de esta primera comunicación sería:
- Responsable: nombre y apellidos del responsable del tratamiento.
- Finalidad: objetivo de la comunicación.
- Legitimación: base jurídica en la que se basa el tratamiento.
- Destinatarios WhatsApp y nadie más, salvo obligación legal.
- Derechos: acceder, rectificar y suprimir los datos, así como otros derechos, tal y como se explica en la información adicional.
- Información adicional: puede consultar la información adicional y detallada sobre protección de datos en la página web: https://www.aepd.es/es/derechos-y-deberes/conoce-tus-derechos
- Contacto: correo del responsable del tratamiento o del Delegado de Protección de Datos (DPD).
WhatsApp en teléfonos móviles de la empresa para uso privado
- Si desea permitir que los empleados usen WhatsApp de forma privada en el teléfono movil de su empresa, puede separar el área privada del teléfono móvil del área comercial. De esta forma, el empresario puede asegurarse de que WhatsApp no acceda a los contactos comerciales y que las irregularidades no sean su responsabilidad.
- Si su empresa no utiliza MDM (Master Data Management), existen aplicaciones adicionales como B. Securecontact, que evita que WhatsApp acceda a los contactos comerciales. Sin embargo, es importante que estas aplicaciones nuevamente no envíen contactos en todo el mundo. Alternativamente, también puede prohibir que WhatsApp acceda a la libreta de direcciones, pero esto afecta significativamente la conveniencia.
- Los empleados deben ser instruidos de manera documentada sobre las medidas mencionadas en el marco de la autoridad de protección de datos.
WhatsApp para la comunicación con el cliente
La empresa que desee comunicarse con sus clientes por medio de la aplicación de mensajería instantánea revisará si este tratamiento es lícito, y lo será si cumple con alguna de las condiciones descritas en el artículo 6, licitud del tratamiento, del RGPD.
El tratamiento debe iniciarse con la obtención del consentimiento expreso de los clientes para que el Responsable del Tratamiento (nuestra empresa) pueda tratar los datos personales de estos.
Este consentimiento debe cumplir con las siguientes características:
- ser libre
- no debe haber ninguna condición para obtener el consentimiento del interesado
- ser específico, explicando cada finalidad de porque se recaban los datos
- no puede dar lugar a error, el interesado tiene que estar seguro de saber para qué está prestando exactamente su consentimiento al Responsable.
Si aun te quedan dudas sobre como adecuarte a la nueva normativa, contacta con nosotros y te ayudaremos a cumplir con la normativa en protección de datos de forma personalizada.
Somos especialistas en protección de datos (LOPDGDD) y adecuación a la Ley De Servicios De La Sociedad De La Información Y Del Comercio Electrónico (LSSIDE)