USO DE APLICACIONES DE MENSAJERÍA INSTANTÁNEA EN LA ORGANIZACIONES
1. Versión profesional y solo como canal informativo
En lo referente al uso de Apps de mensajería instantánea (WhatsApp, Telegram, Signal, etc.), para cualquier entidad (empresas, asociaciones, comunidades de propietarios, organizaciones sin ánimo de lucro, etc. o autónomo/as) que quieran utilizarlas, es recomendable que:
- Utilicen las versiones profesionales (por ejemplo WhatsApp Business) diseñadas para uso corporativo y no la versiones para uso personal (por ejemplo WhatsApp Messenger) que están diseñadas para comunicaciones personales o particulares.
- Solo la usen como canal de comunicación a nivel informativo o como envío de publicidad, no como medio para compartir datos personales o información confidencial.
2. Si se comparte información personal
Si se incluyen o se adjuntan datos personales en los chats, como para cualquier tratamiento hay que cumplir con los principios del art. 5 RGPD, y entre otras cuestiones, se debe:
- Utilizar la versión profesional, esto asegura entre otras cuestiones el cumplimiento del art. 28 RGPD, dado que la entidad propietaria de la App asume la condición de encargado del tratamiento facilitando el contrato conforme a lo exigido por el art. 28.3 RGPD.
- Contar con alguna de las bases jurídicas del art.6.1. RGPD que legitime el tratamiento, que según los fines serán normalmente consentimiento, necesarias para la relación contractual o interés legítimo. Por ejemplo si se pretende el envío de comunicaciones comerciales, conforme al art. 21 de la LSSI podrán basarse en el:
- Interés legítimo (art. 6.1.f RGPD / art. 21.2 LSSI) para clientes, cumpliéndose el resto de las demás condiciones del art. 21.2 LSSI, es decir cuando exista una relación contractual previa, los datos se hayan obtenido de manera lícita y sean empleados para el envío de comunicaciones comerciales referentes a productos o servicios de la propia empresa similares a los ya contratados.
En todo caso, se deberá ofrecer al destinatario la posibilidad de oponerse al tratamiento de sus datos con fines promocionales mediante un procedimiento sencillo y gratuito, tanto en el momento de recogida de los datos como en cada una de las comunicaciones comerciales que le dirija.
- Consentimiento del destinatario (art. 6.1.a RGPD / art. 21.1 LSSI) para no clientes.
- Facilitar la información sobre el tratamiento de datos personales que se vaya a realizar, conforme al art. 13 y/o 14 RGPD, incluida la información sobre TID, ya que por ejemplo en el caso de WhatsApp, se estaría produciendo una TID a EEUU. Y si bien WhatsApp Business (Meta Platforms, Inc.) está adherida al marco de privacidad UE-EEUU (Decisión de Adecuación de la Comisión Europea conforme al art. 45 RGPD) y por tanto las transferencias de datos son lícitas; conforme al art. 13. 1. f) RGPD se debería informar de esta TID a los interesados (clientes, contactos, personas trabajadoras, etc.), incluyendo en dicha información la existencia de esa decisión de adecuación de la Comisión.
3. Posibilidades que ofrecen las aplicaciones de mensajería instantánea y diferencias entre ellas
3.1. Chats privados:
Los mensajes son bidireccionales, pero solo se envían a un destinatario cada vez.
Si se pretenden llevar a cabo comunicaciones comerciales a través del misma, se habrá de cumplir con todo lo expuesto en el punto 2.
3.2. Grupos:
Todos los integrantes del grupo pueden remitir y recibir mensajes que verán todos los componentes del mismo. Si una entidad crea un grupo de mensajería instantánea debe solicitar el consentimiento a todos los miembros que quiera incluir en el mismo, ya que su inclusión, supondrá compartir sus datos personales con el resto de miembros del grupo, esto supone por tanto un tratamiento de datos personales (cesión de datos) cuya única legitimación posible es el consentimiento, además se debe facilitar toda la información relativa a este tratamiento conforme al art. 13 RGPD, incluyendo la posibilidad de revocar el consentimiento en cualquier momento.
Si el grupo se crea con clientes o usuarios y se pretende igualmente llevar a cabo comunicaciones comerciales a través del misma, se habrá de cumplir con todo lo expuesto en el punto 2.
Un grupo de mensajería creado entre las personas trabajadoras de una entidad por propia iniciativa de dichas personas se consideraría realizado en el ejercicio de actividades exclusivamente personales o domésticas y no se vería afectado por la normativa de protección de datos.
3.3. Listas de difusión:
La alternativa para no tener que solicitar el consentimiento, y poder del mismo modo con un solo mensaje llegar a más de un destinatario son las listas de difusión, ya que no suponen que se compartan los datos personales de los integrantes de la lista entre ellos, por tanto, la inclusión en las mismas, al contrario que en el caso de los grupos no supone tratamiento de datos personales alguno. De hecho, los integrantes de una lista de difusión no saben si el mensaje que recibieron se envió a través de una lista de difusión o de un chat directo, ni pueden ver los otros contactos en la lista de difusión. La respuesta de cada destinatario solo llega al creador de la lista de difusión, tampoco la ven el resto de componentes.
Que no haya que solicitar el consentimiento para incluir en una lista de difusión no significa que si por ejemplo se pretenda llevar a cabo comunicaciones comerciales a través de la misma, no haya que cumplir con todo lo expuesto en el punto 2.
3.4. Canal de difusión:
La principal diferencia con un grupo o una lista de difusión es que hay un emisor (administrador) y muchos destinatarios, pero estos no pueden responder. Es unidireccional y solo los administradores pueden dar información. Tipos de canales:
- Privados: no están disponibles en la búsqueda de la aplicación. Su acceso es limitado y para poder entrar, el suscriptor debe tener un enlace que le facilitará el propietario o administrador del canal. Es la solución perfecta para enviar información a un grupo de personas cerrado y sin que puedan tener acceso a ella otras personas que utilicen la herramienta.
- Públicos: son aquellos en los que todo el mundo puede ver las publicaciones, incluso aunque no pertenezcan o se hayan suscrito al canal. Está disponible y visible en la búsqueda y tiene su propia dirección o enlace.
En el caso de suscripción se debe facilitar la información para el tratamiento de datos que supone la misma conforme al artículo 13 RGPD, incluyéndola por ejemplo en un «mensaje fijado» del canal.
4. Algunos riesgos a tener en cuenta
- La posibilidad de que alguien pueda leer los mensajes, que los chats de estas Apps estén cifrados de punto a punto implica que ni la compañía telefónica ni la propietaria de la App (por ejemplo Meta en el caso de WhatsApp) pueden leer los mensajes, pero no que en determinadas situaciones puedan ser leídos por una persona distinta al titular de la línea, ya que quedan almacenados sin cifrar en el dispositivo donde esté instalada la App, y la mayoría de los dispositivos no tienen el sistema operativo cifrado por defecto (Apple sí).
- Si se tiene configurada en “Ajustes” la opción de hacer copias de respaldo de los chats en Google Drive, este almacenamiento también se produce sin cifrar la información.
- La posibilidad de compartir información en un chat equivocado. No es difícil que nos equivocamos de chat, si esto pasa con un mensaje o documento que contenga información personal o confidencial de la organización, estaríamos vulnerando la confidencialidad de esos datos o comprometiendo la información de nuestra entidad.
- Si se usa en el ámbito laboral y se permite su instalación en dispositivos personales, cuando una de las personas trabajadoras que lo esté utilizando cause baja en la organización, la entidad no podrá controlar que la información personal o corporativa que se haya compartido en los chats sea borrada de forma segura.