“WhatsApp Business” y “GDPR”, ¿compatibles?

En la actualidad, “WhatsApp” es la aplicación de mensajería instantánea por antonomasia. La aplicación en el 2021, de acuerdo con Statista (State of Digital, 2021,) ha alcanzado a tener 2.000 millones de usuarios en el mundo y cada día se envían más de 175 millones de mensajes a empresas según el Head of WhatsApp en Facebook.

Su dominio a nivel mundial es cuanto menos cuestionable.

WhatsApp para negocios

Asimismo, según estimaciones por parte de Sensor Tower, en enero de 2021 “WhatsApp Business”, la aplicación móvil de descarga gratuita para pequeñas empresas, se descargó 18 millones de veces en Google Play y Apple Store. Siendo este un claro indicativo de que cada vez más entidades deciden utilizar “WhatsApp Business” para la comunicación con sus clientes.

Las empresas pueden automatizar, organizar y responder con mayor inmediatez a los mensajes, ofreciendo opciones y funciones a clientes con características específicas de la empresa, etiquetas para poder organizar contactos, respuestas automatizadas, etc.

Cabe destacar que la aplicación de “WhatsApp Business” gratuita está pensada para pequeño negocio y autónomos ofreciendo una serie de funcionalidades como:

• Catálogo de productos
• Auto-respuestas
• Mensajes automáticos
• Etiquetas de clientes

La plataforma de WhatsApp Business API está diseñada para comunicación de medianas y grandes empresas a gran escala. Esta última, tiene varias etapas de verificación de la entidad y su ejercicio comercial por parte de Meta para poder usar esta herramienta según propias políticas de la plataforma.

La protección de datos

Además de las numerosas ventajas que implica para la comunicación con clientes y otros usuarios, la utilización de esta herramienta de mensajería instantánea conlleva la necesidad de cumplir con la normativa vigente en materia de protección de datos.

Especialmente cuando a través de la misma existe un intercambio continuo de información (archivos, imágenes, etc.) en la que se traten datos de carácter personal.

En este sentido, vamos a atender a los criterios de las autoridades de control españolas (en concreto, la Autoridad de protección de datos española y catalana). Además de la propia normativa nacional y europea, que destacan que el uso de la aplicación gratuita de “WhatsApp Business”, conlleva (además de aceptar las propias condiciones de uso de la herramienta) el cumplimiento de una serie de obligaciones por parte de la entidad en calidad de responsable del tratamiento, entre las cuales cabría destacar las siguientes:

Análisis de riesgos

Un análisis en el que se evalúen los riesgos de que los datos personales se traten por medio de la herramienta “WhatsApp”.

Deberán analizarse entre otras cuestiones las medidas técnicas y organizativas adoptadas por la herramienta para preservar la seguridad de la información, como por ejemplo el cifrado extremo a extremo, así como las posibles vulnerabilidades de la misma y su posible afectación a la privacidad de los datos personales.  

Protección de datos desde el diseño

Sin perjuicio de las medias técnicas y organizativas con las que cuente la herramienta para preservar la seguridad de los datos personales, el propio responsable del tratamiento deberá utilizar la herramienta de forma diligente, de manera que con su uso no comprometa la confidencialidad de la información.

En este sentido, la Agencia Catalana de Protección de Datos amonestó y requirió recientemente a un Ayuntamiento (PS 28/2021) precisamente por la creación de un grupo de “WhatsApp” en los que los datos de las personas que se unieron al grupo (número de móvil, foto de perfil, nombre de usuario) eran totalmente accesibles al resto, no pudiéndose garantizar el principio de confidencialidad con la creación de un grupo de “WhatsApp” para enviar información institucional.

La Agencia se pronuncia a favor de considerar que, en el caso de utilizar una herramienta como “WhatsApp”, deberá utilizarse las opciones que la herramienta ponga a disposición, y que en mayor medida permitan garantizar el principio de confidencialidad, como es el uso de las listas de difusión en las que no puede accederse a los datos de los integrantes del grupo. En este sentido destacar que, la plataforma de WhatsApp Business no permite crear grupos, sino mandar mensajes mediante WhatsApp a las listas de difusión, y es obligación de la entidad obtener el previo consentimiento de los receptores de ser suscritos a estas listas.

Información y transparencia

Cumplir con estos principios poniendo a disposición de los usuarios una información básica en la propia herramienta, permitiendo acceder al resto de información de forma sencilla e inmediata, por ejemplo, mediante un enlace a la política de protección de datos.

Tratamiento lícito

De acuerdo con los términos de uso de la herramienta, el contacto con personas a través de esta únicamente podrá llevarse a cabo siempre que así lo hayan autorizado los usuarios o en su caso si proporcionaron al responsable del tratamiento su número de teléfono.

Conclusión

Teniendo en consideración lo anterior, los responsables del tratamiento deben tener presente la importancia del cumplimiento y garantía de las obligaciones en materia de protección de datos. Deben valorar las funcionalidades que brindan a los negocios la herramienta aplicación “WhatsApp Business” y la “plataforma de “WhatsApp Business” (WhatsApp Business API) y elegir la más conveniente según su actividad y dimensión.