¿Qué debe hacer una empresa para garantizar el cumplimiento de la Ley cuando use WhatsApp o aplicaciones similares?

En la actualidad WhatsApp es una de las herramientas más usadas a nivel organizacional, ello debido a que no solo facilita  coordinar fácilmente equipos de trabajo, sino que permite alcanzar elevados niveles de eficiencia en la comunicación de los funcionarios, más aún cuando éstos actúan en labores de campo. Ahora bien, a pesar que WhatsApp es útil para las organizaciones, su mayor nicho no es precisamente ese; pues, el común de  usuarios que usan tal aplicación son personas como usted o como yo, que tan solo necesitan disponer de un medio de comunicación para establecer contacto con familiares, amigos, compañeros de estudio o con grupos de pensamiento que tienen cierta afinidad ideológica, y eso ocurre porque una gran porción de la población mundial usa un teléfono móvil que admite dicha aplicación.

A partir de la masificación de WhatsApp, muchas organizaciones han comenzado a usarla para  gestionar sus actividades comerciales o para realizar otras tareas tales como el servicio al cliente, la resolución de Peticiones, Quejas y Reclamos y el soporte técnico. Pero… ¿se podrán realizar dichas actividades o tareas así no más, sin necesidad de considerar otros aspectos?

A nivel de la Ley de Protección de Datos Personales,  el uso de WhatsApp no parece ser tan simple; y esto es comprobable si observamos que algunas organizaciones ya han sido sancionadas por tan solo enviar un mensaje con contenido comercial a un Titular que no nunca había autorizado recibir ese tipo de comunicaciones.  

Para dimensionar el alcance de las consideraciones a tener en cuenta cuando se usa WhatsApp, observemos el caso expuesto en la resolución 50206/2022 expedida por la Superintendencia de Industria y Comercio: allí se expone que una organización, a través de ese medio de comunicación, envió un mensaje a un Titular ofreciéndole su portafolio de bienes y servicios junto con una serie de descuentos aplicables. El Titular, sorprendido por el mensaje, preguntó a su interlocutor de dónde había sacado la información de contacto para realizar el envío de la información, a lo que el asesor de la organización respondió que disponía de una Base de Datos de personas a las que les estaba ofreciendo los productos que comercializaba.

En resumidas cuentas, la organización fue sancionada con una multa cercana a los 45 millones de pesos. Y adicionalmente se le decretó tomar una serie de medidas administrativas para que ello no volviera a suceder; pero… ¿en qué se equivocó la organización? 

Desde el punto de vista legal, la empresa que quería ofrecer sus productos no  le solicitó al Titular una autorización previa en la que él manifestara que en adelante consentía el uso de su información personal para que se le enviaran ofertas comerciales.

De cara al aspecto organizacional, la empresa tenía la obligación de  contar con un manual de procedimientos internos que le indicara a sus funcionarios cuál sería el alcance de sus tareas, y  qué podrían o no hacer con la información que cada día llega a sus manos; sin embargo, tal manual no existía, lo que conduce a deducir que tampoco existía la sensibilización del mismo; pues, cada funcionario que participa en el tratamiento de la información debe conocer a cabalidad cómo tratar los datos y cómo cumplir con las responsabilidades que ellos implican. Tal  conocimiento tan solo se puede evidenciar con una serie de evaluaciones periódicas cuyas respuestas deben coincidir con cada uno de los enunciados de los manuales existentes; pues, el Sistema Integral de Gestión para la Protección de Datos Personales, obligatorio para todas las organizaciones que operan en Colombia, así lo exige. 

Siendo  así son las cosas, entonces ¿Qué debe hacer una empresa para garantizar el cumplimiento de la Ley cuando use WhatsApp o aplicaciones similares? La respuesta es simple: debe establecer una serie de  acciones de estricto cumplimiento, entre las que se encuentran los siguientes:

• Toda comunicación con algún Titular debe estar legitimada y soportada mediante una autorización con la cual este último  manifiesta su consentimiento para que se le envíe contenido relevante que esté relacionado con el bien, el servicio prestado, o la relación existente entre la organización y él.
• La empresa siempre debe informar al interesado que se usará su número telefónico para envío de mensajes instantáneos a través de WhatsApp o cualquier otra aplicación de similares características como TELEGRAM o SMS.
• El Smartphone donde se guardan los nombres de contactos y los números de teléfono preferiblemente debe ser propiedad de la empresa responsable del tratamiento; pues, es ella la instada a implementar medidas de seguridad y confidencialidad alineadas a los estándares exigidos por la Ley.
• Para los casos en que se permita que los Smartphone sean propiedad de los funcionarios, las comunicaciones organizacionales deben estar bien diferenciadas (WhatsApp Business y WhatsApp personal), y las que surjan a través de  “WhatsApp Business” deberán aplicar las medidas de seguridad y procedimientos específicos que por Ley son de obligatorio cumplimiento.
• En el caso de requerir establecer un grupo informativo para notificar instrucciones a los funcionarios, el grupo deberá ser creado y controlado por una persona con algún nivel de autoridad en la empresa,  la que además de obtener el consentimiento para el tratamiento de los datos de los  empleados, hará cumplir las reglas establecidas en los manuales de procedimientos para este tipo de comunicación.

• No será lícito enviar mensajes publicitarios o promocionales por WhatsApp, Telegram, correo electrónico u otro medio de comunicación electrónica equivalente sin que previamente hubiesen sido solicitadas o expresamente hayan sido autorizadas por los destinatarios de las mismas, salvo que exista una relación contractual previa en la que se contempló la necesidad de realizar este tipo de comunicación para cumplir con el objeto del contrato, para lo cual las ofertas deberán ser de bienes o servicios de la propia empresa y sus subsidiarias.
• Todos los datos personales contenidos en cualquier tipo de base de datos siempre deberán ser  obtenidos de forma lícita; es decir, a través de formularios en los que el Titular ha identificado plenamente al responsable de los datos, ha comprendido tanto la finalidad como el proceso de tratamiento de su información personal, y ha consentido el uso de los mismos.
• Toda solicitud de autorización de captura de datos personales deberá ofrecer el derecho a la oposición de tratamiento con fines promocionales; de esa manera el Titular tendrá la opción de aceptar mantener la  relación con un bien o servicio sin tener que recibir ofertas publicitarias.
• Se debe recordar que los mensajes instantáneos están restringidos para comunicaciones hacia personas naturales y no viceversa; es decir, si una organización dispone un número corporativo para que la contacten, entonces cualquiera que lo requiera, sea persona natural o jurídica, podrá enviar su oferta comercial sin restricción alguna, no sucede lo mismo si es la organización es la que requiere hacer tal oferta; pues es necesario el consentimiento previo del titular. Ahora bien,  de ninguna manera  se podrá condicionar un servicio a cambio de una autorización para el tratamiento de la información personal con fines promocionales; es decir, no se puede “chantajear” a un usuario con el condicionamiento de la atención  de un requerimiento, por ejemplo se niega la solicitud de un cambio de un producto por garantía si no se autoriza el uso de los datos personales con finalidades publicitarias; pues,  ese tipo de prácticas son totalmente ilegales

En resumen, para que una empresa pueda utilizar WhatsApp a nivel organizacional debe utilizar “WhatsApp Business” como aplicación, debe asegurar que todas sus acciones cumplen con el reglamento para la Protección de Datos Personales,  debe documentar sus procesos condensando toda la información en un manual que contenga políticas, protocolos y procedimientos, y debe capacitar a su personal para que ejecute todas sus tareas conforme a dicho manual y a la Ley.