Nueva perspectiva de la Agencia Española de Protección de Datos sobre el uso del Whatsapp

Pedro Mairata – Aledia Legaltech para Proassa Magazine

En la sociedad actual, el “aquí y ahora” se ha convertido en una exigencia. Los avances en la tecnología son constantes y los usuarios solicitan a las empresas un nivel de adaptación acorde a la velocidad de estos cambios.

Por ello, aunque las llamadas telefónicas y los envíos de correo electrónico siguen siendo importantes, el contacto a través de mensajería instantánea se ha convertido en un pilar fundamental en las relaciones de la empresa con sus clientes, empleados y proveedores, sin embargo, surge la siguiente duda, ¿es legítima esta forma de comunicación?

Desde la entrada en aplicación del Reglamento General de Protección de Datos (en adelante, El Reglamento o RGPD), las consultas legales sobre la viabilidad del uso de aplicaciones de mensajería instantánea, más concretamente Whatsapp, no han hecho más que incrementarse. Los departamentos enfocados a la comercialización de productos y aquellos dedicados al marketing solicitan a sus directivos la utilización de estas aplicaciones para acelerar y personalizar las comunicaciones con los clientes, empleados y proveedores que, por el contrario, si se hicieran a través del convencional correo electrónico, no conseguirían sus objetivos, debido a la gran cantidad de “spams” y amenazas que se reciben a diario a través de esta vía.

La Agencia Española de Protección de Datos (AEPD) ha cambiado su perspectiva respecto a la utilización de aplicaciones de mensajería instantánea por parte de las empresas. Mientras que, años atrás, se mostraba reacia a su uso, este año ha publicado una resolución dentro del procedimiento Nº E/01824/2019 en el que una prestigiosa empresa del sector de las telecomunicaciones fue denunciada al intentar comunicarse a través de WhatsApp con un cliente sin haber sido autorizada previamente y a pesar de que este había advertido a la entidad de que no utilizará dicho sistema.

Sin embargo, la AEPD, en los fundamentos de Derecho de la nombrada resolución estipula lo siguiente:

En el presente caso, se ha recibido en esta Agencia la reclamación presentada por D. A.A.A. contra “Empresa de telecomunicaciones”, por una presunta vulneración del artículo 6.1 b) del RGPD licitud del tratamiento.

En concreto se denuncia en que “Empresa de telecomunicaciones” se comunica con el reclamante a través de WhatsApp, procedimiento que no tiene autorizado expresamente.

Pues bien, el artículo 6.1.b) del RGPD dispone que el tratamiento es lícito cuando es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales. Es por lo que el dato del teléfono se utiliza dentro de la relación contractual.

Dado que en el presente supuesto la actuación de la entidad reclamada se encuadra en el apartado b) del presente artículo, no existe vulneración en la materia de protección de datos.

Por este motivo, la Directora de la Agencia Española de Protección de Datos acuerda el archivo de estas actuaciones, al haberse resuelto la reclamación presentada.

 

Hasta ahora, se había entendido que la única base de legitimación posible para la utilización de mensajería instantánea con clientes, proveedores o empleados era el consentimiento, sin embargo, tras esta resolución de la AEPD, se deja claro que se puede aplicar cualquiera de las bases de legitimación descritas en el artículo sexto del RGPD, que son las siguientes:

“a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

f) el tratamiento es necesario para la satisfacción de intereses legítimos perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño.”

 

Por lo tanto, siguiendo con la opinión de la AEPD, el consentimiento no es la única base de legitimación válida para la comunicación de las empresas con sus clientes, proveedores y empleados. Entonces, ¿qué debemos tener en cuenta como empresa a la hora de comunicarnos mediante una aplicación de mensajería instantánea?

En primer lugar, y en conformidad con lo dispuesto anteriormente, debemos tener clara la base de legitimación que corresponde en cada tratamiento.

También será necesario por parte de la empresa cumplir con el deber de información regulado en el artículo 13 RGPD, donde se establece que el responsable del tratamiento deberá informar al interesado sobre su identidad, los fines del tratamiento a los cuales son destinados los datos personales y la base jurídica en la que se apoye, entre otros datos necesarios, para cumplir con el mencionado deber.

Además de todo lo dicho anteriormente, la empresa debe cumplir con lo siguiente:

  • Crear y notificar unas políticas en materia de protección de datos, mediante las cuales se den instrucciones claras a los colaboradores y trabajadores de la empresa sobre el uso de las aplicaciones de mensajería instantánea.
  • Realizar un inventario de activos, mediante el cual se registren todos aquellos dispositivos y tarjetas SIM.
  • Instalar solo aplicaciones de mensajería instantánea que proporcionen un contrato de encargado del tratamiento que dé cumplimiento a los requisitos del artículo 28 del RGPD, como por ejemplo WhatsApp Business, la cual ajusta sus condiciones a lo dispuesto por la normativa.
  • Evitar aplicaciones desde las que el tratamiento de los datos se realice en países que no tengan un nivel de protección equiparable al de Europa. WhatsApp por ejemplo, tiene su sede en Estados Unidos, por ello, tal y como ya he mencionado, es preferible la utilización de WhatsApp Business, cuya sede se encuentra ubicada en Irlanda y, por lo tanto, aplica El Reglamento, asegurándose la empresa responsable del tratamiento de que la empresa encargada se rige por la misma normativa. 

Desde Aledia LegalTech, recomendamos que, independientemente de la resolución de la AEPD antes comentada, las empresas den cumplimiento al deber de responsabilidad proactiva mediante una correcta evaluación de los riesgos que corren los datos al utilizar cualquier sistema de mensajería instantánea,  posteriormente analice los resultados y minimice los riesgos a través de la implantación de las medidas técnicas y organizativas, evitando no solo brechas de seguridad, sino el consiguiente daño reputacional que, desde nuestro punto de vista, es uno de los riesgos más importantes que se corren.

Utilizamos cookies propias y de terceros para hacer estadísticas del comportamiento de los usuarios en este sitios web y mejorar nuestros servicios. Si continua navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información aquí | OK