Legitimación para utilizar WhatsApp en la empresa


Maite Morera Fontanet     18/02/2020

Las herramientas para la comunicación instantánea ofrecidas por WhatsApp son:

En la primera, WhatsApp es responsable del tratamiento (RT) de los datos de los usuarios (interesados). En la segunda, WhatsApp es encargado de tratamiento (ET) de la empresa que la contrata (art. 28 GDPR).

Para que una empresa (RT) pueda utilizar WhatsApp para comunicarse con sus clientes, empleados y proveedores hay que contratar WhatsApp Business (es una aplicación diseñada para pequeñas y grandes empresas para poder comunicarse de manera ágil).

El uso de WhatsApp Business asegura que se cumple con el Reglamento General de Protección de Datos (GDPR), la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD) y la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI), así como con las condiciones indicadas por la propietaria de WhatsApp (Facebook). Además, WhatsApp Business está adherida al acuerdo Privacy Shield, lo que significa que cumple con la normativa en cuanto a la transferencia internacional de datos, ya que su sede se encuentra en EEUU.

Por tanto, las empresas que decidan utilizar esta herramienta deberán hacerlo cumpliendo con el GDPR, la LOPDGDD y la LSSI y haberse leído, comprendido y seguido los términos y condiciones especificados por la compañía; de lo contrario, WhatsApp podría suspender la cuenta.

Consideraciones en relación con la normativa de protección de datos

  • Legitimación: deberá establecerse la licitud del tratamiento en base al art. 6 GDPR.
  • Recursos: el dispositivo electrónico (teléfono) del administrador del grupo, donde se guardan los nombres de los contactos y los números de teléfono, debe ser propiedad de la empresa RT, quien tiene la obligación de implementar las medidas de seguridad y confidencialidad exigidas por la normativa vigente en materia de protección de datos. Los dispositivos de los miembros del grupo (BYOD), pueden ser propiedad del usuario, pero deberán aplicar las mismas medidas de seguridad que si el dispositivo fuese de la empresa.
  • Información del tratamiento: además de la información establecida en el art. 13 GDPR, la empresa deberá informar al interesado de que su número de teléfono móvil va a ser utilizado para el envío de mensajes instantáneos a través de la aplicación.
  • Usos de WhatsApp Business:
    • Grupo de mensajería (canal de comunicación entre trabajadores)
    • Lista de difusión (canal de comunicación informativo)

Para utilizar WhatsApp Business como canal de comunicación entre trabajadores, el grupo deberá ser creado por un responsable de la empresa y habrá que obtener el consentimiento de cada uno de los miembros del grupo. En este caso, WhatsApp ofrece una función que permite obtener el consentimiento de los usuarios antes de empezar a interactuar con ellos.

Un grupo de WhatsApp creado entre los trabajadores como vía de ocio se realizaría con WhatsApp Messenger sin precisar de consentimiento ni de las formalidades descritas anteriormente, ya que el tratamiento de datos se consideraría un ejercicio de las actividades exclusivamente personales o domésticas y no se vería afectado por la normativa de privacidad.

Se recomienda que solo se use WhatsApp como canal de comunicación a nivel informativo o como envío de publicidad, no como medio para compartir datos personales o información confidencial. Esto se debe a que se escapan del control de la empresa al depender de la política de privacidad de WhatsApp. Además, en caso de violación de la seguridad o del ejercicio de los derechos del interesado, el responsable será la empresa, tal como se indica el artículo 5 GDPR.

Distintos usos de WhatsApp en la empresa

- Podemos utilizar WhatsApp Business de forma interna, es decir, la empresa crea un grupo de WhatsApp entre sus trabajadores para, por ejemplo, que estos puedan comunicarse entre ellos para avisar que llegan tarde, pedir cambios de turno, o que se quedan más tiempo en la oficina trabajando. En este caso el RT debe avisar con antelación a todos los miembros que pretenda incluir en el grupo para que estos acepten o rechacen ser incluidos en el mismo, y darles la información del tratamiento, así como informarles que podrán ejercitar la revocación del consentimiento y sus derechos en cualquier momento.

- Otro uso del WhatsApp Business en la empresa es cuando la empresa pretenda comunicarse con sus clientes en que ya tienen establecida una relación comercial; en este caso se debe cumplir con lo establecido en el artículo 6 GDPR (licitud del tratamiento por interés legítimo del RT) e informar al interesado sobre lo indicado al artículo 13 GDPR.

En el caso de ser clientes potenciales, por lo que no hay una relación que los une, se deberá seguir las pautas establecidas al artículo 21 de la LSSI:

Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónica equivalente, (como es WhatsApp), que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.

Lo dispuesto en el apartado anterior no será de aplicación cuando exista una relación contractual previa, siempre que el prestador hubiera obtenido de forma lícita los datos de contacto del destinatario y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente fueron objeto de contratación con el cliente.

El prestador deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.

Documentos relacionados

Publicación de INCIBE

https://www.incibe.es/protege-tu-empresa/guias/dispositivos-moviles-personales-uso-profesional-byod-guia-aproximacion-el

https://www.incibe.es/protege-tu-empresa/blog/utiliza-whatsapp-tu-empresa-cumpliendo-el-rgpd-y-lopdgdd