A cada hora, millones de personas en todo el mundo hacen uso de la aplicación de mensajería instantánea WhatsApp, pero pocos saben que problemas puede causar, dentro de la Unión Europea, un uso que a primera vista parezca correcto, pero que pueda suponer graves consecuencias por incumplimiento de la legislación de protección de datos. Habrá que extremar los cuidados en lo referido al uso empresarial de esta app.
Hace días conocíamos la noticia de que la Agencia Española de Protección de Datos (AEPD) había impuesto una multa de 4.000€ euros a un club deportivo por añadir a una exsocia en un grupo de WhatsApp. Nos puede sonar disparatada esta multa, pero debemos distinguir entre los grupos de WhatsApp de familiares o amigos y los externos a esto. Analicémoslo desde la perspectiva de la regulación actual.
En resumen, El Club Deportivo Sasueña, que, dentro de su actividad, tenía como habitual la creación de grupos de WhatsApp con socios para organizar y cuadras distintas actividades. El problema vino cuando añadió en uno de ellos a una antigua usuaria que ya hacía 10 años que no iba a dicho club cordobés. La AEPD determinó en el auto que el Club Deportivo Sansueña había infringido el artículo 6, el 5.1, el 32.1 b) y el 32.2 b) del Reglamento General de Protección de Datos, todos relacionados con la protección de datos y privacidad de la exusuaria afectada, y el tiempo que hacía que ya no era socia de dicho club deportivo.
El incumplimiento de todos estos artículos del Reglamento se fundamenta en que el Club Deportivo no había recabado el consentimiento de esta exsocia para incluirla en este grupo, y dado el tiempo que llevaba esta de baja, no era legítimo ni pertinente que el resto de los socios del grupo pudiesen conocer datos como su número de teléfono, foto de perfil etc.
Fuera de este caso, es más corriente de lo que creemos, esta necesidad de recabar el consentimiento expreso para utilizar WhatsApp como medio de comunicación entre la empresa o negocio y sus clientes o empleados, cuando se realiza un tratamiento de datos. Así lo establecen el RGPD y la LOPDGDD.
Por ejemplo, enviar mensajes masivos a aquellos clientes de los que tengamos su número de teléfono móvil, pero que no hayan dado su consentimiento para que nos comuniquemos con ellos a través de esta aplicación, se considera spam en WhatsApp, de la misma forma que se considera spam a los correos electrónicos no deseados que llegan a nuestra bandeja de entrada. Ocurre lo mismo con los grupos de WhatsApp, tanto para empleados como para clientes.
Por tanto, para evitar, que un interesado, sea cliente o empleado, denuncie ante la Agencia este uso indebido, y que esto conlleve la imposición de sanciones económicas, lo apropiado será recabar previamente este consentimiento. Las formas de recabarlo pueden ser mediante un documento de consentimiento que debe firmar el interesado, o un formulario web. Tanto en uno como en otro se deberá informar de todo lo relativo al tratamiento de sus datos personales (identidad del responsable del tratamiento, finalidad, legitimación, derechos ARCO, etc.). De la misma manera este consentimiento podrá ser revocado por el interesado en cualquier momento y con la misma sencillez con la que se otorgó.
Existe la versión WhatsApp Business diseñada para facilitar este tipo de comunicaciones en los negocios, contando con herramientas específicas para ello. Por ejemplo, cuenta con una API que permite obtener el consentimiento de los usuarios antes de interactuar con ellos a través de la app y enviarles mensajes que contengan toda la información necesaria al respecto, así como la posibilidad de rechazar dicho consentimiento.
Es muy importante mantener la confidencialidad de los datos que se manejan a través de WhatsApp, y para ello se debe dar siempre un uso profesional y encargarse de que los empleados, tanto si es para hablar entre ellos como con clientes, utilicen un móvil de empresa.
En conclusión, la regulación en cuanto a protección de datos, así como las autoridades de control de la UE, son cada vez más restrictivas respecto a los tratamientos de datos. Por tanto, debemos ir con pies de plomo a la hora de utilizar esta aplicación de mensajería instantánea en el ámbito profesional. En el caso contrario nos podemos topar con las sanciones de la Agencia Española de Protección de Datos, de no escasa cuantía, como le ha ocurrido al Club Deportivo Sasueña por un error tan simple como incluir a una antigua socia en un grupo de WhatsApp, algo que hace años nos habría parecido insólito.