
El crecimiento exponencial de los últimos años en el uso de WhatsApp como plataforma de mensajería instantánea en nuestra vida cotidiana ha hecho que inevitablemente muchas empresas también lo estén utilizando en un entorno corporativo.
Por este motivo, vamos a analizar desde un punto de vista legal las diferentes casuísticas empresariales que estamos viendo al respecto, y sobre las que es preciso saber:
– ¿Qué tiene establecido mi empresa al respecto?
- En mi empresa se utiliza, pero no hay nada regulado ni tenemos ningún protocolo de actuación
- En mi empresa está prohibido su uso
- En mi empresa se nos ha informado cómo se debe utilizar, qué se puede y qué no se puede hacer y el protocolo de actuación que se debe seguir.
– ¿Con qué usuarios se permite su uso?
- Se utiliza con clientes, con proveedores y a nivel interno entre empleados
- Sólo se utiliza con clientes y con proveedores, pero no a nivel interno
- Sólo se utiliza a nivel interno para comunicaciones con empleados
– ¿Con qué dispositivo se puede utilizar?
- Lo puedo utilizar desde mi móvil de empresa y desde mi móvil personal
- Sólo lo puedo utilizar desde mi móvil de empresa
- Sólo lo puedo utilizar desde mi móvil personal
Importante tener esto en cuenta para el análisis que se verá más adelante.

Pero, ¿WhatsApp es legal? ¿Cumple adecuadamente?
Antes de hacer zoom en los detalles del análisis, es preciso contestar a la pregunta del millón por la que nos hemos visto obligados a realizar recientemente un análisis de riesgos y una evaluación de impacto (EIPD).
Aspectos importantes a tener en cuenta:
- WhatsApp es una empresa establecida en Estados Unidos (EE.UU.)
- En octubre de 2014 WhatsApp fue adquirida por Facebook
- Al aceptar las condiciones de WhatsApp, el usuario acepta que sus datos puedan ser compartidos con las Empresas de Facebook.
- WhatsApp abrió una filial en Irlanda en julio de 2017 (WhatsApp Ireland Ltd.)
- WhatsApp está dada de alta en EU-US PRIVACY SHIELD FRAMEWORK. Se trata del Escudo de Privacidad que regula las transferencias de datos entre UE y EE.UU. Pero recordamos que el Privacy shield fue invalidado en julio del 2020 y todavía se está pendiente de que salga a la luz un nuevo Acuerdo.
- Posición de la Agencia Española de Protección de Datos (AEPD)
- Antes del RGPD (normativa anterior)
- La AEPD sancionó a WhatsApp con 300.000 euros por comunicar datos a Facebook sin haber obtenido un consentimiento válido de los usuarios
- Procedimiento NºAP/00023/2017 – Ayuntamiento incluye en un grupo de WhatsApp a personas sin su consentimiento y es considerado ilícito por no contar con consentimiento previo e inequívoco y por hacer un uso de los datos personales que no se corresponde a las finalidades concretas para las cuales se obtuvieron.
- Después del RGPD(a partir del 25 de mayo de 2018)
- Expediente Nº: E/09288/2018 – una Empresa es denunciada por enviar un mensaje de WhatsApp solicitando dinero para una nueva marca, sin contar con el consentimiento del receptor y es considerada “una simple prospección empresarial de cortesía, en aras de una posible colaboración”
- Procedimiento Nº: E/01824/2019 – Empresa de Telecomunicaciones se comunica con un cliente a través de WhatsApp, sin su consentimiento, y se considera lícito por el artículo 6.1,b) RGPD (necesario para la ejecución del contrato)
¿Qué podemos deducir?
Tras estos apuntes, lo que podemos decir es que WhatsApp ha sido fuente de polémica en los últimos años. Si bien es cierto que debido a ello, ha reforzado sus políticas de privacidad y seguridad, abriendo una sede en Europa, intentando ser más claras y transparentes (con un documento legal de 30 páginas..) y estableciendo un cifrado extremo a extremo.
Lo que está claro, es que cualquier empresa debe realizar un juicio de necesidad y proporcionalidad antes de utilizar WhatsApp como aplicación de mensajería en un entorno corporativo.
Y especialmente relevante, nos parece que es necesario informar a todos los usuarios previamente a su uso que: WhatsApp comparte información con las empresas de Facebook. No sobre los mensajes, donde que explican que tiene un sistema de cifrado de extremo a extremo, sino de tu número de teléfono y el de todos tus contactos que tienes en tu libreta de direcciones.

Entonces, si quiero utilizar WhatsApp en mi empresa, ¿qué debo hacer?
1. Juicio de necesidad y proporcionalidad
Lo primero, hacer un juicio de necesidad y proporcionalidad, para justificar el uso de WhatsApp frente a otras alternativas que existen en el mercado.
2. Análisis de riesgos
Realizar un análisis de riesgos para comprobar que tratamientos se van a ver afectados por este uso y aplicar las medidas de control correspondientes.
3. Protocolo de Actuación
Establecer un protocolo de actuación qué establezca cómo se debe usar WhatsApp en el entorno corporativo, qué se puede hacer y qué no.
– Comunicación con clientes y proveedores:
- Utilizar WhatsApp Business, como recomienda el Instituto Nacional de Ciberseguridad (INCIBE)
- Designar el listado de empleados que pueden utilizar este medio, a qué número de teléfono irá asignado, las medidas de seguridad que deberá establecer. Y en caso, de ser un dispositivo personal, concretar una Política de Bring Your Own Device (BYOD).
- Debería utilizarse únicamente como un canal informativo y de repositorio de consultas breves.
- No se debe recomendar compartir datos personales o información confidencial.
- No debe utilizarse como un canal para el envío de publicidad. La Política de WhatsApp Business lo prohíbe y se podría incumplir el artículo 21 de la LSSI.
– Comunicación interna entre empleados:
- Garantizar el derecho a la intimidad en los dispositivos digitales de los trabajadores regulado en el artículo 87 de la LOPDGDD
- Garantizar el derecho a la desconexión digital regulado en el artículo 88 de la LOPDGDD
- Especial precaución si se permite su uso desde dispositivos personales. En ese caso se debe establecer una Política Bring Your Own Device (BYOD) con las medidas de seguridad correspondientes.
- Especificar las finalidades para las que puede ser utilizado (emergencias, avisos concretos si se está enfermo, si se llega tarde, etc)
- ¡Cuidado con los Grupos! Si el empleador crea un grupo debe avisar previamente a todos los empleados, aceptando o rechazando ser incluidos, sobre todo si se accede desde un móvil personal. Si se deja a alguien fuera podría considerarse una discriminación laboral.
4. Informar previamente al usuario
Informar previamente al usuario, que su uso conlleva la aceptación implícita de las para las condiciones de servicio de WhatsApp. Por lo tanto, informar de forma concisa, transparente, inteligible y de fácil acceso, con un lenguaje claro y sencillo, cumpliendo con el artículo 13 del RGPD.
5. Solicitar el consentimiento del usuario
Recabar el consentimiento expreso del usuario para utilizar esta aplicación, siempre que sea posible, para reforzar la licitud en el tratamiento. Este consentimiento debe recabarse bajo una clara acción afirmativa del usuario, cumpliendo con el artículo 7 del RGPD.
6. Usar los datos de forma legítima
Utilizar los datos del usuario únicamente para la finalidad que fueron recabados. Si quieren ser utilizados para alguna otra finalidad, previamente se debe obtener su consentimiento expreso.
7. Eliminar los datos cuando ya no sean necesarios
Eliminar y destruir los datos del usuario una vez hayan dejado de utilizarse para la finalidad que fueron recabados.