Con millones de usuarios activos en todo el mundo, es normal que las empresas hayan decidido usar WhatsApp para comunicarse tanto de manera interna como con sus clientes. Sin embargo, no debemos olvidar qué dice la normativa de protección de datos respecto al uso de este tipo de aplicaciones para llevar a cabo comunicaciones internas o comerciales. Por este motivo, vamos a dedicar este artículo a explicar cómo cumplir con la Ley de Protección de Datos al usar WhatsApp en la empresa.
En este artículo hablamos de:
El uso de WhatsApp y la LOPD en la empresa
Dada la gran cantidad de usuarios que tiene WhatsApp, no es de extrañar que las empresas hayan puesto su atención en la aplicación de mensajería instantánea para utilizarla como un medio de comunicación tanto a nivel interno, con sus propios empleados, como a nivel externo, como una herramienta más de comunicación comercial.
Sin embargo, a la hora de usar WhatsApp, las empresas no pueden olvidarse de la Ley de Protección de Datos, puesto que como un medio electrónico de comunicación, con el que se tiene acceso a datos personales (como son el número de teléfono, el nombre o la dirección de email), está sujeto a esta normativa y a la LSSI-CE (Ley de Servicios de la Sociedad de la Información y Comercio Electrónico) y es responsabilidad de las empresas garantizar la protección de datos al usar WhatsApp como medio de comunicación interno y/o externo.
¿Puede una empresa comunicarse con sus clientes a través de WhatsApp?
Sí, una empresa puede comunicarse con sus clientes a través de WhatsApp, pero con una particularidad, no podrá emplear WhatsApp Messenger, que es la versión doméstica y más conocida por los usuarios, sino WhatsApp Business, una versión profesional desarrollada por Facebook entre 2017 y 2018, creada precisamente para que las empresas utilizaran la aplicación para sus comunicaciones con clientes y comerciales.
Ahora bien, usar WhatsApp Business como canal de comunicación con los clientes o como una primera forma de contacto con ellos, implica cumplir con ciertos requisitos de la LOPDGDD y el RGPD, para poder garantizar la privacidad de los datos de sus clientes, que veremos más adelante.
Pero, aunque nada lo prohíbe, se recomienda no usar WhatsApp para compartir datos personales o información confidencial entre la empresa y sus clientes, puesto que el control de estos dependerá de la política de privacidad en WhatsApp, quedando así fuera de las manos de la empresa.
El problema es que la empresa sigue siendo la responsable del tratamiento en caso de violación de derechos o de la normativa, por lo que si se produce una filtración de datos en WhatsApp que afecte a los datos personales de sus clientes, será la empresa quien deba asumir las responsabilidades y posibles sanciones derivadas de ello.
¿Y comunicaciones comerciales?
Como hemos visto en el punto anterior, sí, las empresas pueden usar WhatsApp Business para enviar comunicaciones comerciales, cumpliendo con los mismos requisitos de la LOPDGDD y el RGPD, además de los contemplados en la LSSI-CE para las comunicaciones electrónicas (que detallaremos más adelante).
¿La comunicación con empleados puede hacerse por WhatsApp?
Sí, las empresas también pueden utilizar WhatsApp para comunicarse con sus empleados, atendiendo, como ya sabemos, a la ley de protección de datos al crear los grupos en WhatsApp con los empleados.
Así, teniendo en cuenta el uso que se hace en la empresa de WhatsApp y la LOPD; si son los propios trabajadores quienes crean los grupos para comunicarse entre ellos o con el empleador, no habrá que tomar ninguna medida específica, pero en caso de que sea el empleador quien cree el grupo, este deberá avisar previamente a todos los miembros para que puedan aceptar o rechazar de forma libre ser incluidos en el grupo, especialmente si se usan teléfonos particulares de los trabajadores. Además, los trabajadores podrán revocar el consentimiento para estar en el grupo en cualquier momento.
Requisitos para usar WhatsApp y cumplir la LOPD
Como ya hemos adelantado, hay que cumplir con una serie de requisitos de la normativa de protección de datos al usar WhatsApp como herramienta de comunicación entre la empresa y sus clientes y la empresa y sus empleados.
Informa a tus clientes y/o empleados
A la hora de usar WhatsApp de acuerdo a la LOPD para comunicarnos con nuestros clientes debemos tener en cuenta estos requisitos:
En primer lugar, se debe constatar la licitud del tratamiento (usar los datos personales, en este caso el número de móvil, para contactar con el cliente a través de la app), tal y como se recoge en el artículo 6 del RGPD. En este caso, será lícito usar WhatsApp si el interesado (el cliente) ha dado su consentimiento para ello o si es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales.
En segundo lugar, se debe cumplir con las indicaciones del artículo 13 del RGPD, informando a los interesados de la identidad del responsable del tratamiento, la finalidad del tratamiento y la legitimación del tratamiento, los destinatarios de los datos (que en este caso son la empresa y WhatsApp), qué derechos amparan a los interesados, en caso de haberlo, los datos de contacto del delegado de protección de datos y un enlace a la política de privacidad de la empresa.
Esta información se debe ofrecer en el primer mensaje que abra la conversación, en lo que se conoce como la primera capa informativa. WhatsApp Business dispone de una API que permite implementar diferentes funciones, incluida una que permite obtener el consentimiento de los usuarios antes de empezar a interactuar con ellos a través de la app.
Respecto a la comunicación con empleados a través de WhatsApp, ya hemos visto que cuando es el empleador quien crea el grupo, debe informar previamente a los trabajadores, para que puedan aceptar o no unirse al mismo. Además, se debe incluir la misma primera capa de información en el primer mensaje o mensaje de bienvenida, tal y como describimos para las comunicaciones con clientes.
Recaba el consentimiento expreso para usar WhatsApp
Como ya hemos adelantado, para que una empresa pueda usar WhatsApp como medio de comunicación con sus clientes o empleados debe recabar el consentimiento expreso de estos para ello.
A lo que debemos sumar, en el caso de las comunicaciones comerciales a través de WhatsApp, los requisitos recogidos en el artículo 21 de LSSI-CE:
- No se podrá usar WhatsApp para enviar comunicaciones publicitarias o promocionales si el destinatario no ha dado su consentimiento expreso para ello o no lo ha solicitado previamente.
- Se permiten en caso de que haya una relación contractual previa, siempre que se haya obtenido de forma lícita y haga referencia a productos o servicios similares a los ya contratados con la empresa.
- Ofrecer la posibilidad al destinatario de oponerse al tratamiento de sus datos con fines comerciales, de forma sencilla y gratuita, tanto en el momento de solicitar el consentimiento como en cualquiera otra de las comunicaciones enviadas.
Asegura la confidencialidad de los datos
Al usar WhatsApp como medio de comunicación entre empresa y clientes y/o empleados, se debe garantizar en todo momento la confidencialidad de los datos personales que manejan a través de ella.
Esto es importante cuando la app se emplea para comunicaciones comerciales, ya que es esencial asegurarse de que ni clientes ni empleados comuniquen datos personales en las conversaciones y, en caso de hacerlo, borrarlos tan rápido como sea posible.
La comunicación con clientes a través de WhatsApp siempre debe ser dentro de un contexto profesional y no emplear para ello los teléfonos personales de los empleados.
En cuanto a la comunicación con empleados, se aplican los mismos principios, no compartir información personal o datos personales (más allá de los que emplea la app) en las conversaciones del grupo. Se debe reforzar la idea de que es un canal para comunicaciones relacionadas con el trabajo y no para hablar con los compañeros.
Implanta medidas de seguridad sobre los datos que se envían y almacenan
Es responsabilidad de la empresa implantar las medidas de seguridad necesarias que garanticen la protección de datos al usar WhatsApp, en concreto, las medidas referentes a la custodia de los teléfonos móviles usados para estas comunicaciones y en los que se almacenan los datos personales de clientes y empleados.
Habrá que llevar a cabo un análisis de riesgos sobre el uso de WhatsApp para determinar qué riesgos existen para los datos personales de clientes y empleados y poder establecer las medidas de seguridad necesarias para mitigarlos.
Atiende y responde a las solicitudes de derechos ARSULIPO
Como en cualquier tratamiento de datos personales, la empresa debe atender cualquier solicitud referente a los derechos de acceso, rectificación, supresión, limitación u oposición que reciba respecto a los datos tratados al usar WhatsApp para comunicarse con clientes y empleados.
Para dar curso a estas solicitudes, el responsable del tratamiento deberá ponerse en contacto con WhatsApp, informar sobre el derecho que se desea ejercer, poniendo en copia del correo a la persona que ha hecho la solicitud.
En definitiva, siguiendo las recomendaciones de los puntos anteriores, vuestra empresa podrá usar WhatsApp cumpliendo con la protección de datos en 2022 y más allá. Y si se producen cambios en la normativa que afecten a este uso de la app, os mantendremos informados.