Riesgos de compartir información de clientes o de empleados vía WhatsApp

Son numerosas las empresas que buscan utilizar o ya utilizan WhatsApp a nivel empresarial en su trato con clientes o comunicaciones internas con empleados y con ello derivan ciertos peligros y riesgos al compartir información por esta vía. Aunque la Agencia Española de Protección de Datos (AEPD) se ha pronunciado en varias ocasiones respecto al uso de WhatsApp y no rechaza su utilización, hay que cumplir con las garantías adecuadas de seguridad y establecer el tratamiento en una base legítima para ello.

Lo primero que debe quedar claro es qué modalidad de WhatsApp se debe utilizar en el seno empresarial, y esa modalidad es la conocida como “WhatsApp Business”. Ahora bien, el uso de este aplicativo debe limitarse exclusivamente a la actividad de la comunicación con clientes o empleados y nunca para compartir datos ni información de tipo personal, debiendo estos comunicarse por otras vías habilitadas, por ejemplo, el correo electrónico.

Precisamente, esta directriz la refuerza el propio WhatsApp en sus condiciones de WhatsApp Business cuando indica:

No compartas ni pidas a las personas que compartan números completos de tarjetas de pago individuales, números de cuentas bancarias, números de documentos de identificación personales ni otros identificadores confidenciales».

Ello es así porque el principal riesgo que se corre compartiendo este tipo de documentación, es que está sujeta a transferencia internacional de datos a un país que, en la actualidad, no ostenta un nivel de protección adecuado (EE. UU.). Acudiendo de nuevo a las condiciones de WhatsApp, en ellas se indica que, aun contratando con WhatsApp Ireland, existe transferencia de datos a WhatsApp LLC y Facebook Inc., ambas situadas en EE. UU.

Otro peligro que se corre es utilizar el aplicativo sin contar con una base legítima suficiente. En este punto, debemos diferenciar el tratamiento de clientes respecto al de empleados que cuentan con móvil corporativo y empleados que no cuentan con móvil corporativo.

• Respecto al uso de WhatsApp Business para comunicaciones internas con empleados, contando estos con números corporativos, la base que legitima el tratamiento es la propia relación laboral y, por tanto, no es necesario el consentimiento expreso.
• Respecto a su uso para comunicaciones internas con empleados que no disponen de número corporativo y deben utilizar el número personal; o comunicaciones dirigidas a clientes o potenciales clientes, la base que legitima el tratamiento es el consentimiento expreso.

La propia API de WhatsApp ofrece a los usuarios una función que permite obtener el consentimiento antes de comenzar a interactuar con ellos por medio de la aplicación, así como establecer un mensaje de bienvenida en nuevas conversaciones. Sin embargo, nuestra recomendación es que el consentimiento debe recabarse fuera de WhatsApp, ya que si se hace a través de WhatsApp ya se está tratando el dato personal de esa persona. De nuevo, las propias condiciones de WhatsApp Business delegan en las empresas la responsabilidad de obtener correctamente los consentimientos antes de llevar a cabo el uso de WhatsApp, aunque la propia aplicación habilite esta configuración.

Como conclusión, la regla general para compartir información – no sólo para comunicarse – debería ser utilizar el correo electrónico por ser mucho más garantista a nivel de seguridad, localización y control de la información. Ahora bien, si se decide habilitar la opción de WhatsApp, debe haber un consentimiento previo, en su caso, y sólo realizar comunicaciones que no impliquen intercambio de información sensible, debiendo redirigir cualquier envío de documentación a otras vías (correo electrónico).

Por último, el uso de WhatsApp implica transferencia internacional de datos por mucho que se contrate bajo el paraguas de WhatsApp Ireland, por lo que será un factor de riesgo adicional a tener en cuenta sobre el tratamiento y habrá que modificar las políticas de privacidad correspondientes para informar de dicha transferencia internacional a todos los interesados.

En GlobalSuite Solutions, contamos con más de 15 años de experiencia en materia de Protección de Datos Personales y Seguridad de la Información. Nuestros equipos de consultoría especializada ofrecen el asesoramiento y el soporte necesarios para ayudar a las empresas a definir correctos protocolos de tratamiento de los datos personales, conservación de los mismos, determinación de bases legales legítimas, entre otros, para poder así dar cumplimiento a los requisitos exigidos por el RGPD y la LOPDGDD.