Esta aplicación ya forma parte de nuestras vidas, a estas alturas no lo vamos a negar, y menos cuando su número de usuarios ya supera los 2.000 millones en todo el mundo. Dado el éxito de esta aplicación, ¿cómo no ibas a plantearte el uso de WhatsApp en tu actividad profesional o empresarial? Y ahí es donde entra la protección de datos.
Hay que reconocer que, hoy día, difícilmente podemos prescindir de WhatsApp. Nos hemos acostumbrado a utilizar esta app como medio de comunicación con amigos, familia, compañeros de trabajo y, por supuesto, con alumnos, asociados, clientes, etc. Carecería de sentido negar lo fácil que es atender a un cliente manteniendo una conversación en directo con él, estemos donde estemos ambas partes, enviarle fotos de nuestro productos, resolver sus dudas… la panacea, vamos.
Por eso nació WhatsApp Business, aplicación específicamente dirigida a autónomos y PYMES con el objetivo de que puedan interactuar directamente con sus clientes. En su primer año de vida, la app ya era utilizada por más de 5 millones de empresas y negocios a nivel mundial.
¿Qué es WhatsApp Business?
Al igual que la aplicación original, es una herramienta de comunicación caracterizada por su sencillez y rapidez.
Solamente hay que descargarla desde Apple App Store o Google Play Store, y configurar la información de nuestra empresa. Lo primero es indicar qué número de teléfono vamos a asociar a la aplicación. Por defecto cogerá el del móvil donde hemos hecho la instalación, pero podremos indicar que use otro, incluso el fijo de la empresa. También deberemos poner el nombre que queramos que aparezca en la app y aquí, mucho ojo, porque luego no podremos cambiarlo.
A continuación ya nos dejará acceder a la aplicación y veremos que no cambia mucho respecto a la versión “doméstica” WhatsApp Messenger. Excepto en el apartado “Ajustes de la cuenta”, donde podemos poner el logo de nuestra empresa, dirección, incluyendo la ubicación en un mapa, categoría de la empresa así como una descripción de lo que hacemos, horario comercial, correo electrónico de contacto y dirección de la página web de la empresa, en su caso.
Los clientes no tendrán que descargarse nada para contactar con una empresa que utilice WhatsApp Business, seguirán utilizando su aplicación como siempre.
Una cosa más antes de pasar a ver qué ventajas ofrece el uso de esta app. No es posible tener el mismo número de teléfono para WhatsApp Business y WhatsApp Messenger. Ambas aplicaciones pueden estar en el mismo teléfono pero cada una con su propio número de teléfono.
Si ya tenemos el número asociado a una cuenta de Messenger, podremos transferir el historial de chats a la nueva cuenta Business. Pero esto ya no podrá deshacerse, por lo que si luego queremos volver a Messenger, el historial se perderá.
¿Qué aporta WhatsApp Business a tu empresa?
Ya hemos visto que la aplicación permite crear un perfil de empresa mostrando a nuestros clientes la información más relevante sobre la misma. Pero además podemos encontrar:
- Estadísticas sobre la cantidad de mensajes entregados, enviados y que han sido leídos.
- Crear mensajes de bienvenida para los clientes que contactan con nuestra empresa por primera vez o cuando nos vuelva a escribir después de más de 14 días.
- Crear mensajes de ausencia automatizados para cuando no estás disponible o fuera del horario comercial. También permite configurar a quién se le van a enviar esos mensajes.
- Configurar atajos en el teclado para usar respuestas rápidas con mensajes tanto de texto como multimedia (fotos, GIF y vídeos).
- Mostrar un catálogo de los productos de la empresa. Indicando su nombre, precio, fotos, la descripción del mismo así como el código y el enlace a la web.
Y hecho esto, ¿ya puedo contactar con mis clientes?

Pues no, y hay que tener cuidado a la hora de empezar a hacerlo. WhatsApp Business no deja de ser una herramienta para que empresa y cliente se comuniquen que requiere el consentimiento de éste último para poder enviarle comunicaciones. Pero esto no es lo único que debemos tener en cuenta, por lo que vamos a ir paso por paso.
Paso 1. Legitimación
Como todo tratamiento, el envío de comunicaciones por WhatsApp debe contar con una base que lo legitime conforme al art. 6.1 RGPD: consentimiento, relación contractual, intereses vitales del interesado o de otras personas, obligación legal del responsable, interés público o ejercicio de poderes públicos, interés legítimo del responsable.
Parece claro que para dar soporte a nuestros clientes, la empresa estará legitimada por la existencia de una relación contractual previa con los mismos, por lo cual, este primer requisito lo cumpliríamos. Pero si no es el caso, habrá que recurrir al consentimiento.
El consentimiento para que sea válido conforme a la normativa de protección de datos vigente, debe ser inequívoco, es decir, una clara acción afirmativa por parte del interesado, prestarse libremente y ser revocable. Y no menos importante, demostrable. O sea, que el futuro destinatario nos debe autorizar, sin lugar a dudas, y de manera que podamos demostrarlo, que nos autoriza a enviarle mensajes a través de WhatsApp. ¿Y esto cómo lo hacemos? Pues pidiéndolo, ya sea a través de nuestra web, redes sociales, correo electrónico o en papel cuando trata con nosotros. Porque sea cual sea el medio por el cual recojamos sus datos para poder comunicarnos con él, debemos cumplir, además, con el siguiente paso.
Por otra parte, el uso de WhatsApp para el envío de comunicaciones comerciales, no deja de estar supeditado también al cumplimiento de la LSSI- CE. Ésta prohíbe el envío de este tipo de comunicaciones si no han sido previamente solicitadas o autorizadas por los destinatarios de las mismas, salvo que exista una relación contractual previa. Esta excepción encaja con una de las bases de legitimación de las que hablábamos antes, así que existiendo un contrato cumplimos con ambas normas, RGPD y LSSI.
Nuestra recomendación es que, incluso existiendo una relación contractual previa, siempre avises a tu cliente de que se va a utilizar WhatsApp para contactar con él. Ya que, al ser una app que nació como medio de comunicación personal, puede resultar intrusivo que, de repente, le empiezan a llegar mensajes nuestros, acabando en reclamación ante la Agencia Española de Protección de Datos. Esto lo podemos ver en el procedimiento E/01824/2019 que, aunque acabó archivando, no deja de ser una situación desagradable para ambas partes.
Paso 2. Información
Todo responsable del tratamiento debe cumplir con el deber de información del art. 13 del RGPD. Así que, en la recogida de los datos del interesado, debes informarle, entre otras cosas, acerca de tu identidad, los fines del tratamiento para los cuales son destinados los datos personales y la base jurídica en que se apoya dicho tratamiento.
En todo caso, la información sobre protección de datos puede presentarse siguiendo un modelo de información por capas o niveles. Esto significa facilitar una información básica en el mismo momento en que se recojan los datos y una información adicional en un medio más adecuado para su presentación, comprensión y, si se desea, archivo.
Aprovechando la posibilidad de configurar los mensajes de bienvenida, una buena práctica sería crear un mensaje inicial con el contenido informativo básico exigido por la norma conforme hemos visto antes. La información adicional o 2ª capa se puede poner a disposición del interesado en la página web de la empresa, si tiene, o remitirse por el medio más adecuado.
Paso 3. Revocación
Debemos tener siempre presente que el consentimiento puede ser revocado por el interesado en cualquier momento. Para ello hay que establecer un procedimiento sencillo y gratuito para que el destinatario de nuestras comunicaciones ejerza su oposición al envío de las mismas. Y, por supuesto, dejar de usar esta aplicación como medio de contacto con dicho interesado en cuanto lo solicite.
Otras cuestiones a tener en cuenta al usar WhatsApp Business
WhatsApp Business está diseñada para fines de comunicación empresarial. A diferencia de WhatsApp Messenger cuyo uso es personal, doméstico, para que lo entendamos mejor en relación a la aplicación del RGPD.
¿Y a qué viene esto? Pues a que la normativa de protección de datos no se aplica a tratamientos efectuados en actividades exclusivamente personales o domésticas. Así, una agenda de contactos y las comunicaciones que mantenemos por Messenger con amigos y familia, obviamente no están regulados ni por el RGPD ni por la LOPD-GDD. Pero WhatsApp Business sí.
Las propias condiciones de uso de WhatsApp Business establece el compromiso de la empresa de cumplir con la normativa de protección de datos. Un incumplimiento puede dar lugar a la limitación o interrupción de tu acceso a WhatsApp Business e, incluso, la prohibición de uso de la aplicación.
De hecho, en diciembre de 2019, WhatsApp anunció su intención de iniciar acciones legales contra aquellos que violen sus condiciones de servicio. Por ejemplo, por llevar a cabo acciones de mensajería masiva o de uno no personal. Así que nada de usar Messenger para comunicarte con los clientes, debes usar Business.
Otra cuestión importante son las medidas de seguridad. WhatsApp, como encargado del tratamiento, debe aplicar las medidas técnicas y organizativas adecuadas para proteger los datos personales. De igual modo, tu empresa, como responsable, también tiene que cumplir con su parte. Así, por ejemplo:
- Formar al personal de la empresa sobre el correcto tratamiento de los datos personales, con información expresa de su deber de secreto y confidencialidad.
- Restringir el uso de la aplicación al personal autorizado.
- Controlar qué dispositivos tienen instalada la aplicación e implantar las debidas medidas de restricción de acceso a los mismos.
- Eliminar datos de clientes y otros usuarios que ya no son necesarios.
Y ahora, qué no debes hacer
Y con esto ya acabamos, de verdad, pero quiero haceros una última recomendación. Utiliza la app solamente como canal informativo, no para compartir datos personales ni información confidencial. Como ya hemos mencionado varias veces, tu empresa es la responsable del tratamiento de los datos personales y, como tal, responde ante una violación de los derechos de los interesados. Esto, en gran medida, va a depender de la política de privacidad de WhatsApp, perteneciente al grupo Facebook, que cuenta con un amplio historial de “encontronazos” con la Agencia Española de Protección de Datos o, mejor dicho, con la propia protección de datos personales.
Por eso lo mejor es evitar compartir ni pedir números de cuenta bancarias ni de tarjetas de crédito, números de documentos de identificación personal (DNI, carnet de conducir, pasaporte, etc.), datos relativos a la salud y cualquier otra información sensible.
Concluyendo, el uso de WhatsApp en tu actividad esta condicionado a la utilización de WhatsApp Business. Ésta puede ser una buena herramienta para establecer un canal de comunicación cliente-empresa dada su agilidad y sencillez junto con las funciones añadidas de automatización, organización y respuesta rápida. Pero recuerda que siempre se debe analizar correctamente para qué y cómo vamos a usarla y, por supuesto, los riesgos que conlleva para los datos personales de nuestros clientes y contactos.
Si tienes alguna duda sobre el tema llámanos al 958 415 736 o háznosla llegar a través de cualquiera de los otros canales que ponemos a tu disposición.
Coincido que, como mal menor y puesto que la realidad del mercado nos condiciona, en un entorno profesional debe usarse la versión Business de Whatsapp. Y muy acertado todo vuestro articulo en términos generales.
No obstante no creo que su uso pueda considerarse conforme al RGPD, entre otros, por los siguientes motivos:
1.- Al recibir un mensaje de un desconocido, y a pesar que tengamos programado un mensaje automático de información, la única manera viable de obtener su consentimiento es advertirle que si continua con la conversación se entenderá que lo otorga (pretender que el usuario escriba un mensaje expreso de autorización es irreal). Esta presunción difícilmente puede considerarse como un consentimiento válido (nos defenderemos argumentando la similitud con el «seguir navengando» de las cookies).
2.- WhatsApp és encargada del tratamiento pero no es posible suscribir con ellos un contrato de ET acorde al RGPD. Además WhatsApp usa datos para finalidades distintas a un possible contrato de ET como por ejemplo al monitoritzar los mensajes con la finalidad de detectar incumplimientos de sus términos y condiciones.
3.- Existe una transferència internacional de datos de alcance mundial y que no en relación a todos los paises encuentra cobertura en el RGPD.
4.- Es vox populi que se trata de una aplicación con grandes fallos de seguridad por lo que difícilmente estaremos cumpliendo la obligación de adoptar medidas de seguridad adecuadas y ello a pesar de limitarnos a darle un uso informativo evitando mensajes con información confidencial.
En consecuencia no veo la manera de usar la aplicación con plena conformidad con el RGPD.
Gracias
Un tema cuanto menos interesante.
Creo que es un hecho que todo el mundo conoce los riesgos de WhatsApp pero también que no vamos a dejar de utilizarlo, de hecho, la propia AEPD lo ha incluido en su campaña específica a menores como vía de contacto y ha aceptado su uso como medio de comunicación con un cliente que denunció a una empresa de telecomunicaciones. El artículo creo que va encaminado en la línea de aconsejar que no se use pero son los propios clientes los que están demandándolo cada días más.
En el comentario anterior se habla de recibir mensajes con desconocidos, creo que en ese caso, al igual que se informa en la recogida de datos del uso de la aplicación, se puede reconducir la conversación para que de su consentimiento, no dejarlo como tácito por el hecho de haberla iniciado. Pero si es el desconocido el que se dirige a la empresa, ¿no es una clara acción afirmativa al hecho de mantener una conversación por este medio? No es la empresa quien lleva a cabo la acción, es el usuario quien decide utilizar este medio. Y si se configura el mensaje automático de bienvenida correctamente, se puede cumplir con el deber de información.
Por otra parte, el hecho de firmar un contrato de encargo de tratamiento, ¿hasta qué punto sería necesario cuando el usuario ya ha aceptado todas las condiciones de uso de la aplicación al instalarla en su propio dispositivo? Es decir, no es un servicio prestado exclusivamente a la empresa, como por ejemplo, un software de gestión, si no que el cliente ha aceptado la app como medio de comunicación.
Y en cuanto a las transferencias internacionales, WhatsApp tiene la certificación del Marco del Escudo de la Privacidad UE-EE.UU y del Marco del Escudo de la Privacidad de Suiza-EE.UU.
Totalmente de acuerdo en que es el propio mercado quién reclama el uso de WhatsApp y parece algo inevitable. Yo soy la primera que ha tenido que ceder y usarlo con clientes.
Por ello encuentro muy acertado el artículo de GrupoIWI al recomendar usar siempre la versión Business y programar un mensaje automático de bienvenida adecuado.
Cierto es que tanto la AEPD como numerosas administraciones públicas, especialmente ahora en tiempos de pandemia, usan WhatsApp y me parece muy muy preocupante. Como también lo és su uso masivo para la atención médica y psicológica a distancia por ya un importantísimo número de profesionales sanitarios (como mínimo en el sector privado).
Si ya no se trata de un medio seguro para compartir datos económicos mucho menos para datos sanitarios o de acoso y aún menos de los menos de colectivos vulnerables como son los menores.
Puesto que la realidad social nos impone el uso de WhatApp queramos o no, mi opinión al respecto es que la AEPD debería actuar de oficio y realizar, cuanto menos, las siguientes actuaciones:
– Un estudio riguroso de los riesgos que entraña el uso de WhatsApp
– Aconsejar oficialmente el uso de la versión Business y dar instrucciones de configuración y uso
– Desaconsejar el uso para actividades como la asistencia médica o psicológica on-line
– Iniciar inspecciones de oficio a las empresas/AAPP que lo utilizan al objeto de verificar las medidas de seguridad que adoptan (como no usar la copia de seguridad en Drive, la comunicación de datos con Facebook, etc.) y empezar a sancionar aquellos casos en los que exista riesgo.
– Por descontado modificar su doctrina del procedimiento E/0824/2019. Todo interesado tienen derecho a no admitir el uso comercial/empresarial de WhatsApp y encuentro una barbaridad que la simple existencia de un contrato habilite a las partes al uso de cualquier medio de comunicación, máximo cuando el contrato no lo prevé, la otra parte se ha opuesto y el medio en si presenta serias dudas de seguridad. (Si alguien tiene curiosidad: https://www.aepd.es/es/documento/e-01824-2019.pdf)
En realidad, me parece alucinante que a nivel europeo, o si queréis simplemente del gobierno español, con los recursos de los que se disponen, no hayan promovido la creación de una aplicación de mensajería que cumpla 100% RGPD y además dé sobradas garantías de seguridad.
Lo estoy viendo estos días mismo con el uso masivo de Zoom para videoconferencias, a pesar de los mil avisos de brechas cantidades ingentes de entes públicos y para públicos lo están usando.
Realmente los gobiernos no consideran que se trata de algo prioritario y de su competencia? Tan poderosas son las empresas del sector?
En lo referente a las fórmulas de otorgar consentimiento veo muy apropiado tu comentario María de reconducir la conversación para que el usuario manifieste expresamente su consentimiento. De no hacerlo quería contaros una respuesta de la AEPD a una consulta similar y de la que deduzco que no podemos considerar consentimiento el simple hecho de que sea el usuario quien libremente haya escogido usar WhatsApp e iniciar una conversación.
Se preguntó a la AEPD como debíamos actuar en caso de recibir un correo electrónico de un desconocido (por ejemplo alguien que enviara el currículum). Me respondieron que en este caso la empresa debía mandar un correo de respuesta con toda la información del art. 13 RGPD y solicitando que el usuario nos respondiera con una declaración clara y expresa de otorgar el consentimiento. En caso de no recibir esta segunda comunicación del usuario debía procederse al borrado de los correos recibidos y a no responderlos o tramitarlos.
Personalmente creo que es una interpretación que atenta a toda lógica y que puede contradecirse con otras normativas (por ejemplo, casos en que exista un plazo máximo de respuesta por parte de la empresa y donde la norma no prevé la suspensión de dicho plazo por un motivo como la obtención de autorización para el tratamiento de datos). Pero es que además es un sistema imposible de implantar en grandes organizaciones o simplemente en organizaciones con un gran volumen de mails recibidos.
Por lo que se refiere a la relación de encargado de tratamiento encuentro muy interesante tu reflexión de que se trata de un servicio prestado tanto a la empresa como al usuario por lo que podrís existir la ficción de un contrato a 3 bandas. Pero a nivel de RGPD creo que seguiría incumpliendo puesto que no se otorga a la empresa ninguna de las potestades propias de un contrato de ET como el fijar medidas de seguridad o la posibilidad de inspección y auditoría.
Atendiendo al hecho que WhatsApp usa los datos para sus propias finalidades, no sé hasta qué punto podríamos decir que en vez de encargado és propiamente un responsable cesionario de nuestros datos. ¿Pero quién tiene el valor de decir eso en su propia política de privacidad?
Finalmente, solo mencionar que las transferencias internacionales abarcan países fuera de EEUU, de hecho los términos de uso de WhatsApp simplemente hablan de todo el mundo, por lo que es incontrolable.
Gracias y perdón por haberme extendido tanto.