Legitimació per utilitzar WhatsApp a l'empresa


18/02/2020 | Maite Morera Fontanet

Les eines per la comunicació instantània ofertes per WhatsApp són:

A la primera, WhatsApp és responsable del tractament (RT) de les dades dels usuaris (interessats). A la segona, WhatsApp és encarregat de tractament (ET) de l'empresa que la contracta (art. 28 GDPR).

Perquè una empresa (RT) pugui utilitzar WhatsApp per comunicar-se amb els seus clientes, empleats i proveïdors cal contractar WhatsApp Business (és una aplicació dissenyada per a petites i grans empreses per poder comunicar-se de manera àgil).

L'ús de WhatsApp Business assegura que es compleix amb el Reglament General de Protecció de Dades (GDPR), la Llei Orgànica de Protecció de Dades Personals i Garantia dels Drets Digitals (LOPDGDD) i la Llei de Serveis de la Societat de la Informació i de Comerç Electrònic (LSSI), així com amb les condicions indicades per la propietària de WhatsApp (Facebook). A més, WhatsApp Business està adherida a l'acord Privacy Shield, el que significa que compleix amb la normativa pel que fa a la transferència internacional de dades, ja que la seva seu es troba als EEUU.

Per tant, les empreses que decideixin utilitzar aquesta eina ho hauran de fer complint amb el GDPR, la LOPDGDD i la LSSI i haver-se llegit, comprès i seguit els termes i condicions especificats per la companyia; en cas contrari, WhatsApp podria suspendre el compte.

Consideracions en relació amb la normativa de protecció de dades

  • Legitimació: s'haurà d'establir la licitud del tractament en base a l'art. 6 GDPR.
  • Recursos: el dispositiu electrònic (telèfon) de l'administrador de el grup, on es guarden els noms dels contactes i els números de telèfon, ha de ser propietat de l'empresa RT, qui té l'obligació d'implementar les mesures de seguretat i confidencialitat exigides per la normativa vigent en matèria de protecció de dades. Els dispositius dels membres del grup (BYOD), poden ser propietat de l'usuari, però han d'aplicar les mateixes mesures de seguretat que si el dispositiu fos de l'empresa.
  • Informació del tractamento: a més de la informació establerta a l'art. 13 GDPR, l'empresa ha d'informar a l'interessat que el seu número de telèfon mòbil serà utilitzat per a l'enviament de missatges instantanis a través de l'aplicació.
  • Usos de WhatsApp Business:
    • Grup de missatgeria (canal de comunicació entre treballadors)
    • Llista de difusió (canal de comunicació informatiu)

Per utilitzar WhatsApp Business com a canal de comunicació entre treballadors, el grup haurà de ser creat per un responsable de l'empresa i caldrà obtenir el consentiment de cada un dels membres de el grup. En aquest cas, WhatsApp ofereix una funció que permet obtenir el consentiment dels usuaris abans de començar a interactuar amb ells.

Un grup de WhatsApp creat entre els treballadors com a via d'oci es realitzaria amb WhatsApp Messenger sense precisar de consentiment ni de les formalitats descrites anteriorment, ja que el tractament de dades es consideraria un exercici de les activitats exclusivament personals o domèstiques i no es veuria afectat per la normativa de privacitat.

Es recomana que només es faci servir WhatsApp com a canal de comunicació a nivell informatiu o com enviament de publicitat, no com a mitjà per compartir dades personals o informació confidencial. Això es deu al fet que s'escapen del control de l'empresa en dependre de la política de privacitat de WhatsApp. A més, en cas de violació de la seguretat o de l'exercici dels drets de l'interessat, el responsable serà l'empresa, tal com s'indica l'article 5 GDPR.

Diferents usos de WhatsApp a la empresa

- Podem utilitzar WhatsApp Business de forma interna, és a dir, l'empresa crea un grup de WhatsApp entre els seus treballadors, per exemple, perquè aquests puguin comunicar-se entre ells per avisar que arriben tard, demanar canvis de torn, o que es queden més temps a l'oficina treballant. En aquest cas el RT ha d'avisar amb antelació a tots els membres que pretengui incloure en el grup perquè aquests acceptin o rebutgin ser inclosos en el mateix, i donar-los la informació del tractament, així com informar-los que poden exercir la revocació del consentiment i els seus drets en qualsevol moment.

- Un altre ús del WhatsApp Business a l'empresa és quan l'empresa pretengui comunicar-se amb els seus clients amb qui ja tenen establertaa una relació comercial; en aquest cas s'ha de complir amb l'establert a l'article 6 GDPR (licitud del tractament per interès legítim del RT) i informar a l'interessat sobre el que indica a l'article 13 GDPR.

En el cas de ser clients potencials, pel que no hi ha una relació que els uneix, s'haurà de seguir les pautes establertes a l'article 21 de la LSSI:

Queda prohibit l'enviament de comunicacions publicitàries o promocionals per correu electrònic o altre mitjà de comunicació electrònica equivalent, (com és WhatsApp), que prèviament no haguessin estat sol·licitades o expressament autoritzades pels destinataris de les mateixes.

El que disposa l'apartat anterior no és aplicable quan hi hagi una relació contractual prèvia, sempre que el prestador hagués obtingut de forma lícita les dades de contacte del destinatari i les empreses per a l'enviament de comunicacions comercials referents a productes o serveis de la seva pròpia empresa que siguin similars als que inicialment van ser objecte de contractació amb el client.

El prestador haurà d'oferir al destinatari la possibilitat d'oposar-se al tractament de les seves dades amb fins promocionals mitjançant un procediment senzill i gratuït, tant en el moment de recollida de les dades com en cadascuna de les comunicacions comercials que li dirigeixi.

Documents relacionats

Publicació d'INCIBE

https://www.incibe.es/protege-tu-empresa/guias/dispositivos-moviles-personales-uso-profesional-byod-guia-aproximacion-el

https://www.incibe.es/protege-tu-empresa/blog/utiliza-whatsapp-tu-empresa-cumpliendo-el-rgpd-y-lopdgdd