CEFIROS

Uso de WhatsApp en entornos empresariales o comunicaciones de Negocio con el RGPD/GDPR

25.05.18 08:35 AM Por Marcos Caballero

He recibido varias consultas de amigos y clientes, que qué pasa con WhatsApp a partir de este viernes.

Debido a la GDPR/RGPD, en adelante Reglamento, y los requisitos de protección de datos relacionados para las empresas descritos anteriormente en el Reglamento, el uso de WhatsApp para fines comerciales y/o fines laborales, conduce a varios problemas críticos:

  • La libreta de direcciones de un usuario con todos los contactos, incluidos sus correos electrónicos y números de teléfono, se transfiere a WhatsApp y, por lo tanto, a Facebook. No se sabe muy bien dónde y con qué propósito se están transfiriendo y procesando estos datos. Una empresa que utiliza WhatsApp no ​​puede informar a los clientes ni empleados, cómo se manejan estos datos y, por lo tanto, no puede cumplir con el requisito de "derecho de acceso" del Reglamento. Además, si un cliente quiere hacer uso de su "derecho al olvido" y eliminar todos los datos relacionados con ella, esto no se puede aplicar con WhatsApp.

 

  • Una empresa no tiene consentimiento explícito para transferir los datos personales de los clientes a WhatsApp. Por ejemplo, al utilizar WhatsApp, una empresa transmite la libreta de direcciones y, por lo tanto, los datos de contacto de los clientes a WhatsApp. Con esto incumplimos el Reglamento.

 

  • Si bien se dice que los mensajes están encriptados de extremo a extremo, pero esto no es el problema de base aunque tenga otras ramificaciones, WhatsApp recopila metadatos de usuarios y datos personales relacionados. De esta manera, WhatsApp tiene acceso no solo a los identificadores personales (UID), sino también a los usuarios con quienes se comunican, con qué frecuencia los usuarios se conectan con contactos específicos, durante cuánto tiempo los usuarios se envían mensajes entre sí, y así sucesivamente. Esta información es perfecta para generar perfiles de usuario personales y comprender las relaciones sociales. Y si juntamos que hace poco el que era CEO de WhatsApp ha dimitido por querer bajar el nivel de cifrado, nos juntamos con una bomba de relojería. Con lo que podríamos decir que no sabes qué metadatos recopila Whatsapp, cómo los procesa y a quién o quienes se transfiere ni con que fines. En consecuencia, si una empresa utiliza WhatsApp para comunicarse con los clientes, no puede cumplir con el "derecho de acceso" o el "derecho al olvido" del Reglamento

 

  • Al utilizar WhatsApp para fines profesionales y/o comerciales (WhatsApp for Business), una empresa transfiere datos de clientes a los EE. UU. Esto entra en conflicto con la obligación que exige el Reglamento de no transferir ni almacenar datos personales fuera de la UE. En los Estados Unidos, con sus leyes de privacidad mas laxas, no se puede garantizar una protección adecuada de los datos de los clientes.  
  • Probablemente WhatsApp, no cumpla los principios de "privacidad y seguridad desde el diseño" y la "anonimización" de datos que indica el Reglamento. El simple hecho de cargar la libreta de direcciones al servicio cloud de WhatsApp, no cumple con ese principio, además de todo lo que conlleva a nivel de publicidad (Ads) de Facebook, que están bastante dirigidos, tengo la comprobación de una amiga que indicó en un chat vamos de cañas, y le salía publicidad de cerveza en facebook, un tanto sospechoso no?? Por lo tanto la "Anonimización" de datos no se aplica.

 

  • Si un cliente o empresa, quiere transferir todos sus datos a otro servicio, esto no es posible con WhatsApp, con lo que ya se está incumpliendo otro Requisito del Reglamento, de esta manera se hace inviable la "portabilidad" de datos de un sitio a otro, que como indica el Reglamento, es de obligado cumplimiento.

 

Y entonces que hacemos? Está claro que WhatsApp, y seguramente otras herramientas públicas de mensajería, no cumplen con los requisitos del Reglamento, y en estos casos debería usarse una herramienta "profesional", a ser posible que resida en Europa (si pensáis en Rusia, creo que tampoco lo cumple), que garantice el cumplimento del Reglamento y podamos hacer cumplir el Reglamento ante cualquier requerimiento de un usuario o cliente.

 

¿Qué pensáis vosotros?

 

Es un post abierto a opiniones, y en este post solo muestro mi opinión aplicando mi conocimiento.