Por Rosa Lozano Egeda, abogada del despacho
Artículo publicado originalmente en LegalToday.com
En la actualidad nos movemos en un mundo digital donde todo y todos estamos interconectados, de manera que podemos trabajar desde cualquier punto geográfico e interactuar directamente a través de una serie de herramientas digitales, entre las que se encuentran las que nos comunican, como es el caso de WhatsApp, la aplicación gratuita de mensajería instantánea más utilizada en el mundo y que se ha convertido hoy día en una de las principales vías de comunicación, ya que cuenta con más de 2.000 millones de usuarios.
Si se traslada el uso del WhatsApp al ámbito empresarial, muchos empresarios pueden pensar que están desaprovechando la base de datos de sus clientes desde el punto de vista del marketing digital; entonces, ¿por qué no crear un grupo de WhatsApp con los contactos de los clientes para enviarles ofertas comerciales?
Resulta evidente que WhatsApp tiene muchos beneficios y se adecúa perfectamente a nuestro ritmo de vida y de trabajo, porque es un aplicación gratuita, rápida, fácil de usar, que casi todo el mundo tiene y nos permite comunicarnos de forma inmediata con otros usuarios, sin embargo, se debe tener precaución al usarla, principalmente si es una empresa o un profesional, ya que el mal uso de la misma puede vulnerar la normativa de protección de datos, que comprende el Reglamento de Protección de Datos (RGPD), y la Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales (LOPDGDD), pues de lo contrario se corre el riesgo de ser sancionado por la Agencia Española de Protección de Datos (AEPD), con multas que pueden ascender hasta los 20.000.000 de euros, o, la cuantía equivalente al 4% como máximo del volumen del negocio total anual global del ejercicio financiero anterior. Pero no solo se puede incumplir normativa en materia de protección de datos, sino que pueden conculcarse las normas establecidas para el comercio electrónico si no se siguen las directrices de la Ley de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI).
En este sentido, traemos a colación una reciente resolución de la Agencia Española de Protección de Datos (AEPD), el procedimiento sancionador PS/00260/2021 que concluyó con la sanción a un Club deportivo con 4.000€ por agregar el número de teléfono de una exsocia a un grupo de WhatsApp, con fines comerciales y sin pedirle su autorización.
La denunciante había sido socia de un Club deportivo y había causado baja hacía diez años. El Club, utilizando los datos que esta había facilitado en el pasado, la incluyó en un grupo de WhatsApp sin solicitarte autorización previa y procedió a enviarle información comercial.
En esta resolución, la AEPD sanciona al Club por haber infringido varios artículos del RGPD:
- Se han conservado los datos de la exsocia más tiempo del necesario, para la finalidad para la que se recogieron, que en su momento era acceder al Club deportivo, pero al dejar de ser socia desde hacía 10 años, ya no se cumplía con esta finalidad, y por tanto no debería haber conservado sus datos, infringiendo el artículo 5.1.e) del RGPD.
- El Club deportivo no obtuvo el consentimiento de la usuaria para el tratamiento de sus datos personales para otros fines, contraviniendo lo dispuesto en el artículo 6 del RGPD.
- Se facilitó su número de teléfono a terceros al incluirla en un grupo de WhatsApp vulnerando su confidencialidad, infringiendo el artículo 32.1.b) del RGPD.
- Y finalmente, el Club no contaba con unas medidas de seguridad que se adecuasen a la normativa de protección de datos, infringiendo el artículo 32.1.d) del RGPD.
Como puede verse, es conveniente saber utilizar las herramientas digitales, sin obviar las consecuencias de tomar una mala decisión, pues tal y como se ha comprobado, el incumplimiento de la normativa de protección de datos además de acarrear sanciones puede dañar la imagen de la empresa de cara al cliente, por no ser capaz de proteger los datos personales de los usuarios, siendo, por tanto, esencial, contar con un asesoramiento legal preventivo.
Principalmente, debe tenerse presente que, para poder enviar comunicaciones comerciales a través de WhatsApp, se debe obtener con carácter previo, el consentimiento del usuario. A tal fin, para obtener un mayor rendimiento de la aplicación de WhatsApp sin vulnerar la normativa de protección de datos ni la LSSI, partiremos de las recomendaciones efectuadas por el Instituto Nacional de Ciberseguridad de España (INCIBE).
En primer lugar, la empresa que quiera comunicarse con sus clientes con esta herramienta deberá utilizar WhatsApp Business, en lugar del WhatsApp Messenger, pues esta última está enfocada a las comunicaciones personales. En consecuencia, para poder usar la aplicación de WhatsApp Business, se deberá leer, comprender y seguir sus Términos y Condiciones, porque un mal uso de la aplicación conllevaría el riesgo de que WhatsApp suspenda su cuenta.
Para que la empresa pueda comunicarse con los clientes a través de una aplicación de mensajería instantánea debe comprobar que el tratamiento es lícito, y ello es así si cumple con alguna condición de las contenidas en el artículo 6 del RGPD, entre estas causas de licitud del tratamiento estaría la del consentimiento del usuario para que se traten sus datos, así como que el tratamiento fuera lícito para la ejecución de un contrato donde el interesado sea parte.
Precisamente una de las principales modificaciones del RGPD consiste en que la empresa, como responsable del tratamiento, debe cumplir con el principio de accountability, es decir, la responsabilidad proactiva, que significa que la empresa siempre ha de ser capaz de demostrar que cumple con la normativa. En relación con este principio, lo que resulta interesante de WhatsApp Business, es que cuenta con una API (Application Programming Interface), que permite integrar distintas funciones, entre las que se destacaría la función que permite la obtención del consentimiento del usuario, antes de empezar a comunicarse con el mismo, por lo que la empresa podría acreditar que se ha recogido el consentimiento del usuario.
De forma paralela, cuando se recogen los datos del usuario, la empresa debe informarle, aunque sea brevemente, sobre qué se va a hacer con sus datos, art. 13 del RGPD: la identidad y datos del responsable del tratamiento, los datos de contacto del Delegado de Protección de Datos (DPO) si lo hubiera, los fines del tratamiento y la base jurídica de los mismos, los intereses legítimos, los destinatarios de esos datos, si se van a transferir los datos, durante cuánto tiempo se van a conservar, así como los derechos que puede ejercer.
En este sentido, WhatsApp Business permite crear mensajes de bienvenida en las nuevas conversaciones con el usuario, por lo que la empresa debe aprovechar este mensaje para dar al usuario la información básica del tratamiento de datos, que se desarrolla en el art. 13 del RGPD.
Pero es importante tener en cuenta que, como se recomienda desde INCIBE, WhatsApp Business se debe utilizar como canal de comunicación a nivel informativo o de información comercial de las empresas o autónomos, y no usarlo para mandar información confidencial o compartir datos personales, puesto que este tratamiento de datos se escaparía del control de la empresa, al depender de la política de privacidad de WhatsApp, y en el caso de que hubiera una violación de la seguridad o del ejercicio de los derechos del interesado, el responsable será la empresa, de acuerdo con el art. 5 del RGPD.
Respecto a los clientes potenciales a los que la empresa quisiera remitir comunicaciones comerciales a través de WhatsApp Business, deberá tener en cuenta las reglas dispuestas en el artículo 21 de la LSSI:
- Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico u otro medio de comunicación electrónico u otro medio de comunicación equivalente, como sería WhatsApp, que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas.
- Lo dispuesto anteriormente no será de aplicación cuando exista una relación contractual previa, siempre que se hubiera obtenido de forma lícita los datos de contacto del destinatario, y los empleara para el envío de comunicaciones comerciales referentes a productos o servicios de su propia empresa que sean similares a los que inicialmente se contrataron.
- En todo caso, el prestador del servicio deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto desde el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.
Por todo ello, se puede deducir la importancia de la obtención del consentimiento previo del usuario en su toma de datos, en un apartado distinto para poder remitirle una comunicación comercial.
Otra cuestión distinta, es el supuesto en el que la empresa decida utilizar WhatsApp Business para comunicarse a nivel interno, entre compañeros y personal de la propia empresa, en esta ocasión, también deberán tomarse una serie de precauciones para no vulnerar la normativa de protección de datos. Si el grupo lo ha creado el empleador, debe avisar previamente a todos los trabajadores, dándoles siempre la posibilidad de aceptar o rechazar que se les incluya en el grupo, principalmente si se va a utilizar su teléfono particular, y dándoles siempre la posibilidad de revocar su consentimiento y poder ejercer sus derechos en cualquier momento.
En este caso, también se ha de cumplir con la obligación de informarles, aunque sea brevemente sobre los siguientes aspectos: quién es el responsable del tratamiento y su contacto, la finalidad, legitimación, destinatarios, derechos a ejercer.
Por todo ello, antes de tomar una mala decisión en su negocio sobre el uso de una aplicación de mensajería instantánea para comunicarse con sus clientes o potenciales clientes, es conveniente que cuente con el asesoramiento de profesionales del área de protección de datos, así como de e-commerce, ya que un asesoramiento previo puede evitar la imposición de importantes sanciones.