¿Cómo utilizar WhatsApp en mi empresa cumpliendo con la normativa de protección de datos?

¿Cómo utilizar WhatsApp en mi empresa cumpliendo con la normativa de protección de datos?

WhatsApp es la aplicación de mensajería instantánea por excelencia, contando con más de 35 millones de usuarios en España y con más 2 millones de usuarios activos en todo el mundo a principios de este año. Por tanto, no nos debería sorprender que se haya convertido en el medio de comunicación más utilizado en nuestro día a día, no sólo en el ámbito doméstico o personal, sino también en el profesional o empresarial.

Dicha aplicación cuenta con la versión WhatsApp Messenger y WhatsApp Business, siendo ésta última, la versión diseñada para cubrir las necesidades en entornos empresariales o de los negocios.

Es posible utilizar las aplicaciones WhatsApp Business y WhatsApp Messenger de forma simultánea, siempre y cuando las cuentas estén asociadas a números de teléfono diferentes.

En el caso de que decidas utilizar esta herramienta como medio de comunicación con tus empleados y/o clientes deberás hacerlo cumpliendo con el RGPD, la LOPDGDD, la LSSICE y con las condiciones del servicio de Meta.

A continuación, exponemos algunas recomendaciones, así como cuestiones que deberás tener en cuenta para evitar incumplimientos y/o riesgos por parte del uso de dicha aplicación en un entorno empresarial:

• Lee y cumple con los términos y condiciones del servicio establecidos por Meta. Sabemos de sobra que son extensos y pueden resultarte un tanto aburridos, no obstante, en caso de incumplimiento, la compañía podría suspender o cancelar tu cuenta.

• Utiliza siempre la aplicación oficial. Es motivo de sanción por parte de la compañía. El uso de versiones no oficiales supone un riesgo para la privacidad y seguridad de los datos que trates, ya que terceros no autorizados pueden acceder a los mismos.

• Asegura la confidencialidad de los datos. Conviene utilizar dispositivos seguros, así como establecer una serie de parámetros con el objetivo de reforzar la idea de que este medio se utilice para compartir información estrictamente profesional. 

• Implementa medidas de seguridad. La empresa como responsable de tratamiento de los datos deberá implementar medidas de seguridad técnicas y organizativas para mitigar riesgos que puedan causar posibles brechas de seguridad.

Además de los anterior, resulta conveniente realizar, con carácter previo a su uso, un análisis de impacto que permita a la compañía determinar los riesgos derivados del tratamiento de los datos a través de dicha aplicación, así como las medidas de seguridad concretas para mitigarlos.

Puntos a tener en cuenta para el uso de whatsapp con clientes y empleados

• Uso de la aplicación con clientes

Asegúrate de la existencia de una base de legitimación para utilizar dicha aplicación. En primer lugar, debes cerciorarte de que el tratamiento es lícito y que cumple con las condiciones del art. 6 del RGPD, es decir, que el cliente ha dado el consentimiento previo para dicho tratamiento o, en su caso, si es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación, a petición de éste, de medidas precontractuales.

En segundo lugar, se debe cumplir con lo establecido en el art. 13 del RGPD, esto es, informar a los interesados acerca de la identidad del responsable del tratamiento, finalidad y la base de legitimación, entre otros aspectos.

WhatsApp Business API dispone de mecanismos que facilitan la gestión de los consentimientos de los usuarios antes de comenzar a interactuar con los mismos por este medio.

En el caso de que desees utilizar WhatsApp para el envío de comunicaciones comerciales con tus clientes, deberás tener en cuenta lo establecido en el art.21 de la LSSICE:

– Deberás abstenerte de enviar comunicaciones publicitarias o promocionales, si las mismas no han sido solicitadas previamente o autorizadas expresamente por el cliente;

– Lo anteriormente expuesto, no será necesario cuando exista una relación contractual previa que te permita hacerlo;

– En cualquier caso, deberás ofrecer la posibilidad a los clientes de darse de baja u oponerse al envío de las mismas, mediante un proceso visible, fácil y gratuito.

• Uso de la aplicación con los empleados.

Para poder establecer si es legítimo o no la inclusión de un trabajador en un grupo de WhatsApp, en primer lugar, deberá tenerse en cuenta de quién es la titularidad del dispositivo y de la línea telefónica.

En el supuesto de que sea la empresa la que facilita el teléfono corporativo al trabajador, ésta puede incluirlo en un grupo de mensajería instantánea, al igual que en otras herramientas de uso corporativo.

No obstante a lo anterior, cuando se trata del teléfono personal del trabajador dicha cuestión cambia.

La reciente resolución del procedimiento AI-00050-2022 de la AEPD parecía abrir la puerta a la posibilidad de la inclusión de trabajadores en grupos de WhatsApp a libre elección de la empresa, siempre que le resultara conveniente. Aunque la Agencia no se pronunció expresamente en su decisión acerca cuál era la base de legitimación aplicable para dicho supuesto, señalaba que en el ámbito laboral el tratamiento de los datos personales se basa jurídicamente, de forma principal, en la ejecución del contrato de trabajo.

La resolución parece no tener en cuenta criterios jurisprudenciales establecidos por la Sala Social del Tribunal Supremo y jurisprudencia menor. No obstante, para que dicho uso pueda basarse en la ejecución de la relación laboral, deberá tenerse en cuenta lo siguiente:

⇒ que resulte realmente necesario para la ejecución del contrato;

⇒ que exista un pacto entre empresa y el empleado y;

⇒ que el empresario asuma los costes del dispositivo y de su uso.

Dicho lo anterior, para establecer la base de legitimación apropiada para dicho tratamiento, habrá que estudiar a caso a caso y siempre teniendo en cuenta la finalidad pretendida y los datos tratados.

En el supuesto de que decidas utilizar WhatsApp como herramienta de comunicación en tu empresa, no olvides tener en cuentas las recomendaciones anteriores.

Artículo escrito por:

Estefanía Asensio

Abogada especialista en propiedad intelectual y protección de datos

estefania.asensio@metricson.com