WhatsApp Business expone legalmente a las empresas al incumplir la protección de datos

Hace unos días WhatsApp lanzaba WhatsApp Business su aplicación de mensajería instantánea para empresas. El objetivo, que cualquier compañía o negocio utilice el sistema de mensajería para fidelizar clientes, hacer nuevos e incrementar el volumen de facturación mejorando la relación y comunicación con el cliente.

Llueve sobre mojado. Como en el caso de la aplicación de mensajería para particulares -está en el punto de mira de la Unión Europea por incumplir la legislación en materia de protección de datos-, la versión para empresas tampoco cumple con la legalidad en materia de protección de datos. Ni con la europea ni con la española.

"Desde WhatsApp aseguran que cumplen con la LOPD (Ley Órganica de Protección de Datos española) porque las comunicaciones están cifradas, pero no es suficiente con cifrar las comunicaciones. La legislación la deben cumplir no sólo las empresas europeas, también las compañías de fuera que traten datos de ciudadanos europeos. Por decirlo de alguna manera, los datos de los europeos viajan con sus derechos", explica Eduard Blasi, abogado especializado en protección de datos y derecho tecnológico, y coonfundador de Nepcom, app de mensajería instantánea corporativa.

No hablamos sólo de los mensajes de WhatsApp en sí, sino de otros datos que son de tanto o mayor interés, como la hora a la que el usuario despierta, a qué hora se comunica con una persona, o dónde se encuentra"

Una de las principales controversias se encuentra en los servidores. Las comunicaciones de WhatsApp, los mensajes, no están en el teléfono móvil del usuario pese a que se pueda pensar lo contrario. Están en una suerte de 'cajas' -servidores- que esconden en su interior, guardando las distancias, grandes discos duros con una ingente capacidad de almacenamiento. Los teléfonos se conectan frecuentemente a estos servidores para recibir y enviar mensajes. Los servidores son algo así como 'trasteros' en los que se guardan todas las mensajes, fotos y mensajes de los usuarios de WhatsApp.

El problema es que estos centros de almacenamiento, estos servidores, son propiedad de WhatsApp. "No sabemos dónde están y cuando la UE pide datos concretos de usuarios a WhatsApp la compañía no los facilita. Cualquier empresa que trabaje con WhatsApp Business estará comprometida legalmente porque no cumplirá con las leyes de protección de datos. La UE tiene el punto de mira sobre el servicio de mensajería, hace unas semanas le advirtió de la necesidad de cumplir con la regulación. Si WhatsApp no lo hace, podría recibir una sanción. Los usuarios deben saber qué se hace con sus datos", explica Blasi.

No cumple con el Privacy Shield

Privacy Shield, en español Escudo de Privacidad, es una certificación que han de poseer las compañías norteamericanas con presencia en Europa que traten datos personales de ciudadanos europeos.

De esta forma, las empresas que deseen importar datos personales desde el viejo continente están obligadas a colaborar con las autoridades de la UE responsables de la protección específica, y a informar sobre cómo tratan los datos que recopilan.

"No hablamos de los mensajes de WhatsApp en sí, sino de otros datos, los llamados metadatos, que son de tanto o mayor interés, como la hora a la que el usuario despierta, a qué hora se comunica con una persona, dónde se encuentra exactamente esa persona...", declara Eduard.

Hay otra suerte de servicios de mensajería instantánea 'made in Spain' orientados a empresas que sí cumplen con la LOPD y la futura GDPR europea, como Aggity y Nepcom

Aunque WhatsApp asegura cumplir con el Privacy Shield en su información legal (pinchar en el enlace), cuando se pincha sobre la palabra 'certificación', el enlace aparece roto. "A día de hoy no cumplen con la certificación", concluye Eduard.

Marcas blancas de WhatsApp

Además de Nepcom, hay otra suerte de servicios de mensajería instantánea 'made in Spain' orientados a empresas que sí cumplen con la LOPD y la futura GDPR (Reglamento General de Protección de Datos).

"Nosotros proveemos un servicio de marca blanca de mensajería denominado Corporate Messenger, idéntico a WhatsApp en su funcionamiento, que se adapta y personaliza a cualquier cliente. Además, cumple estrictamente con las leyes de protección de datos. Nosotros damos la solución tecnológica y el cliente la instala en sus propios servidores o en los que contrate con Amazon, Google o con quien quiera. Esto garantiza que tiene todo el control de los datos, cumpliendo con la regulación", apunta Óscar Pierre, CEO de la empresa de mensajería corporativa Aggity.