Si pensamos en una aplicación móvil que utilizamos a diario, seguro que WhatsApp pronto viene a tu mente.

Con más de 2 000 millones de usuarios en todo el mundo y 33 millones de usuarios en España, WhatsApp se ha convertido en la principal plataforma de comunicación no solo entre personas, sino también para las empresas desde la irrupción de WhatsApp Business en 2018.

Como era inevitable, su impacto ha llevado a que multitud de empresas lo empleen como medio de comunicación tanto con sus empleados como con clientes.

Hasta aquí todo correcto, pero con una importante aclaración: el uso de WhatsApp para empresas debe realizarse cumpliendo con el RGPD, la LOPDGDD y la LSSI, además de las condiciones indicadas por Facebook.

Nando Olcina (@NandoOlcina), responsable de Legalidad Digital en Webpositer Agency, aclara en este vídeo las principales consideraciones legales que debe tener presente sobre WhatsApp Business, la aplicación de mensajería pensada para empresas y profesionales.

Diferencias entre WhatsApp Messenger y WhatsApp Business

El principal punto diferenciador entre la herramienta de mensajería instantánea WhatsApp Messenger y WhatsApp Business está su objetivo.

Mientras la primera está diseñada para comunicaciones personales, las empresas o profesionales que decidan utilizar esta aplicación para contactar con clientes deben usar WhatsApp Business.

La versión de WhatsApp para empresas busca ofrecer una plataforma que ayude a negocios a cubrir sus necesidades comunicativas.

Por este motivo, la herramienta facilita que el usuario pueda incorporar información sobre:

  • Características de la empresa
  • Actividad
  • Dirección física, incluso señalada en un mapa
  • Descripción del negocio
  • Horario comercial
  • Formas de contacto
  • Dirección de correo electrónico
  • Enlace a la web

Además, su tecnología posibilita la programación de mensajes automáticos de bienvenida y ausencia, incluso respuestas rápidas, escribiéndose en el chat cuando una persona contacte con la cuenta.

Uso legal de WhatsApp para empresas: obligaciones conforme al RGPD y la LOPDGDD

Antes de entrar en lleno en dichas obligaciones, repasamos algunos conceptos esenciales siempre que hablamos del empleo de datos personales.

  • Interesado: «persona física titular de los datos de carácter personal que son objeto de tratamiento bien por el Responsable, bien por el Encargado».
  • Responsable de Tratamiento: «persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios de tratamiento».
  • Encargado de Tratamiento: «persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento».

Tanto el Responsable como el Encargado de Tratamiento están obligados a suscribir un Contrato de Encargo de Tratamiento (art. 28 RGPD) en el que se definan:

  • Objeto, duración, naturaleza y finalidad del tratamiento.
  • Tipos de datos personales y categoría de los interesados

Por su parte, el Encargado de Tratamiento debe cumplir una serie de obligaciones:

  • Tratará los datos personales siguiendo las instrucciones documentadas del Responsable de Tratamiento
  • Garantizará que las personas que traten datos se han comprometido a respetar la confidencialidad
  • Tomará las medidas de seguridad necesarias conforme al artículo 32 RGPD.
  • Asistirá al Responsable de Tratamiento para que pueda cumplir con las solicitudes de ejercicio de derechos de los interesados
  • A elección del Responsable, suprimirá o devolverá todos los datos personales al finalizar el servicio

¿Cómo firmar el Contrato de Encargo de Tratamiento para un uso legal de WhatsApp en empresas?

WhatsApp nos da la respuesta: si eres una empresa o profesional, debes contratar su versión WhatsApp Business, tal y como indica en sus Condiciones de Contratación.

¿Quién es el Responsable de Tratamiento de datos al utilizar WhatsApp Business?

La empresa o profesional que use WhatsApp Business será la Responsable de Tratamiento de los datos personales de sus contactos o clientes.

Además, puede elegir cómo va a tratar esos datos, motivo por el que escogerá el proveedor que desea contratar para que le preste este servicio. En esta caso, hablaríamos de la aplicación WhatsApp.

Es más, esa empresa o profesional decidirá la finalidad de uso de esta herramienta de mensajería instantánea para comunicarse con clientes o contactos:

  • Atender solicitudes de información
  • Comunicarse con un cliente durante la prestación de un servicio
  • Enviar comunicaciones comerciales
  • Actuar como vehículo de comunicación con empleados

Por su parte, WhatsApp Ireland (Europa) o WhatsApp LLC (EE. UU.) es la Responsable del Tratamiento de los datos personales de los usuarios que utilizan la aplicación de WhatsApp.

De este modo, datos como en número de teléfono, la foto de perfil o el estado serían responsabilidad de la plataforma.

No obstante, WhatsApp actuará como Encargada de Tratamiento de cualquier otro dato personal que los clientes de la empresa/profesional proporcionen a través de la aplicación en una conversación.

WhatsApp Business y las transferencias internacionales de datos

Con el uso de esta herramienta de mensajería son habituales las transferencias internacionales de datos.

Pero, ¿qué hay tras este concepto y por qué debes conocerlo si empleas WhatsApp en tu empresa?

Las transferencias internacionales de datos se producen en el momento en el que esos datos personales son tratados por un responsable o encargado de tratamiento en el Espacio Económico Europeo y son enviados a un tercer país u organización internacional fuera de ese territorio.

WhatsApp es una empresa con sede americana y Estados Unidos no cuenta con un nivel adecuado en materia de protección de datos.

Hasta julio de 2020, las transferencias internacionales a empresas de Estados Unidos se permitían por el convenio Privacy Shield.

Según este acuerdo, si las empresas se adherían a ese convenio y cumplían una serie de obligaciones respecto a la protección se podrían transmitir datos a esas empresas americanas.

Facebook Inc., al que pertenece WhatsApp LLC, estaba adherida a ese acuerdo, pero el Tribunal de Justicia de la Unión Europea invalidó ese convenio, lo que ha ocasionado que las transferencias internacionales de datos a Estados Unidos sean ilícitas.

Entonces, si mi empresa está en Europa, ¿qué servicio de WhatsApp Business he de contratar?

En este caso, deberás contratar WhatsApp Business con WhatsApp Ireland Limited, la filial de la empresa en Europa.

No obstante, en las Condiciones de Contratación, WhatsApp incluye un apéndice sobre la transferencia de datos que establece: «WhatsApp Ireland transfiere datos de Europa a WhatsApp LLC y Facebook Inc», ambas empresas americanas.

Obligaciones del Responsable de Tratamiento de datos con WhatsApp Business

Como empresa o profesional que va a utilizar WhatsApp Business, precisas de una base jurídica de tratamiento de los datos personales que la legitime:

  • Consentimiento
  • Ejecución de un contrato
  • Obligación legal
  • Intereses vitales del interesado
  • Interés público o ejercicio de poderes públicos
  • Interés legítimo del responsable

A continuación, establecemos las principales finalidades en el tratamiento de datos a través de WhatsApp para empresas y la base jurídica que la ampara:

finalidades-whatsapp-business

En cualquier caso, la empresa o profesional como Responsable del Tratamiento tiene la obligación de informar sobre el tratamiento de datos a través de WhatsApp.

Cuando el Interesado se comunique con la empresa por primera vez a través del chat de WhatsApp Business, debe saltar un mensaje automático que informe de los siguientes puntos:

  • Datos del responsable de tratamiento: nombre, denominación social, NIF y domicilio
  • Finalidades del tratamiento
  • Destinatarios de los datos
  • Transferencias internacionales
  • Derechos del Interesado: acceso, rectificación, supresión, oposición, limitación y portabilidad de los datos
  • Enlace a la política de privacidad de la empresa

Recomendaciones finales sobre el uso legal de WhatsApp para empresas

Como conclusión y después de conocer con más precisión todo lo que rodea al universo de WhatsApp Business para el óptimo cumplimiento de la ley, compartimos contigo las recomendaciones de nuestro compañero Nando Olcina sobre el empleo de esta plataforma para empresas.

  • Emplea un proveedor de servicios de mensajería que no realice transferencias internacionales de datos.
  • Siempre que recabes datos de clientes o contactos, hazlo de manera legal. Informa de quién es el responsable de tratamiento, la finalidad, los derechos del interesado, etc.
  • Obtén el consentimiento del interesado a las transferencias internacionales de datos
  • Incluye ese primer mensaje en WhatsApp en el que recopiles la información básica relativa al tratamiento de los datos.
  • Evita usar WhatsApp para recoger datos personales del interesado y redúcelo a finalidades informativas y/o publicitarias conformes a la ley.
  • Recaba siempre el consentimiento antes de incluir a clientes o contactos en un grupo de WhatsApp

¿Te has quedado con dudas sobre cómo utilizar tu cuenta de empresa en WhatsApp según la normativa actual para evitar problemas legales?

Déjanos tus comentarios y los resolveremos para que siempre que apuestes por WhatsApp Business lo hagas con la máxima tranquilidad.