Las búsquedas en torno a WhatsApp y GDPR se suceden a medida que las empresas toman más conciencia sobre la importancia tanto de esta normativa como de la plataforma WhatsApp como canal de comunicación.
En pocas palabras: alinear WhatsApp y GDPR es imprescindible para cumplir con la normativa, evitar sanciones y generar confianza con clientes y prospectos.
En este sentido, analizamos qué implica exactamente el uso de WhatsApp de acuerdo al Reglamento General de Protección de Datos y algunas estrategias para alinearlos.
WhatsApp y GDPR: las preguntas frecuentes, resueltas
¿Qué es el GDPR?
El acrónimo GDPR responde a General Data Protection Rule, el nombre en inglés del que en España se conoce como Reglamento General de Protección de Datos (RGPD). Se trata de una normativa que busca proteger la privacidad de los datos de los consumidores a través de una serie de requisitos para las empresas que operan en la UE.
Desde 2018, el RGPD está vinculado a la Carta de Derechos Fundamentales de la UE, que establece que «los ciudadanos de la UE tienen derecho a la protección de sus datos personales».
¿Qué empresas deben cumplir con la ley de protección de datos?
La Comisión Europea resuelve esta pregunta mediante el siguiente texto:
El RGPD se aplica en los casos siguientes:
- su empresa o entidad trata datos personales como parte de las actividades de una de sus sucursales establecidas en la Unión Europea (UE), independientemente del lugar donde sean tratados los datos, o
- su empresa está establecida fuera de la UE y ofrece productos o servicios (de pago o gratuitos) u observa el comportamiento de las personas en la UE.
¿Qué requisitos se establecen para cumplir con el RGPD?
El Reglamento General de Protección de datos establece los siguientes principios que deben regir la política de privacidad de datos de las empresas.
En este sentido, el tratamiento de datos personales debe ser:
- Lícito, leal y transparente: informando claramente a los usuarios de que se están recopilando sus datos y sobre cómo se usarán. La información debe ser comunicada “de forma concisa, transparente, inteligible y de fácil acceso”
- Limitado al propósito: los datos deben recopilarse solo para los fines específicos comunicados con el ciudadano.
- Minimización de datos: solo deben recogerse los datos necesarios para el propósito definido.
- Exactitud: las organizaciones deben asegurarse de que los datos sean precisos y estén actualizados.
- Limitación del almacenamiento: los datos no deben conservarse más tiempo del necesario para el cumplimiento del propósito establecido. Una vez cumplido el propósito, deben eliminarse.
- Integridad y confidencialidad: las organizaciones deben implementar medidas para proteger los datos contra accesos no autorizados y pérdidas.
- El foco en el consentimiento: las empresas deben obtener el consentimiento claro y explícito antes de recopilar datos personales. Además, este consentimiento debe poder ser revocable en cualquier momento.
A su vez, el RGPD establece otras obligaciones adicionales, incluyendo:
- Obligación de informar a las autoridades competentes (en un plazo de 72 horas) y a los afectados en caso de tener lugar un incidente de seguridad que comprometa los datos personales.
- Llevar un registro detallado de las actividades de tratamiento de datos, incluyendo fines, bases legales y categorías de datos tratados.
- En casos específicos (si la organización trata con grandes volúmenes de datos, datos sensibles o si se trata de una autoridad pública), existe también la obligación de nombrar un Delegado de Protección de Datos.
- Para el tratamiento de datos que implique un alto riesgo para los derechos y libertades de las personas, las organizaciones también deben realizar evaluaciones de impacto.
Finalmente, la ley prevé una serie de sanciones para aquellas organizaciones que incumplan las obligaciones establecidas por la normativa.
Cómo aplica el RGPD en la práctica
Los requisitos que acabamos de describir deben, a su vez, tener reflejo en una serie de prácticas en las organizaciones, que afectan a diversas áreas: desde la redacción de las comunicaciones sobre datos al establecimiento de políticas de gestión de datos y de la figura de un delegado de protección de datos.
Por ejemplo, el RGPD está detrás de algunas de las prácticas más importantes vinculadas al marketing digital, incluyendo:
- Las ventanas emergentes de cookies que solicitan el permiso para la recopilación de datos al visitar un sitio web por primera vez.
- Las casillas que los usuarios pueden marcar para dar su consentimiento para comunicaciones de marketing.
- La posibilidad de cancelar la suscripción a boletines de correos electrónicos y otros contenidos de forma sencilla.
- El derecho de los consumidores a escribir a las empresas para que eliminen o corrijan sus datos.
WhatsApp y GDPR: ¿por qué es importante?
La estrategia de marketing en WhatsApp se alza en los últimos años como una de las opciones más eficaces para comunicarse con potenciales clientes, guiándoles en el proceso de compra de forma conversacional y altamente eficiente.
En gran medida, la efectividad de WhatsApp en procesos de marketing e incluso venta automática por WhatsApp se basa en la recopilación de datos: es a partir de estos datos que es posible diseñar procesos altamente personalizados para el consumidor y, mejorando la relevancia de los contenidos y los mensajes, multiplicar las ventas.
En este sentido, WhatsAppp y GDPR van necesariamente de la mano: en todo momento, las empresas que empleen WhatsApp como canal comunicativo deben aplicar de forma estricta los protocolos previstos en el Reglamento General de Protección de Datos, del mismo modo en que lo harían en cualquier otro canal de comunicación.
De forma resumida, las siguientes deben ser los ejes en torno a los cuales gire cualquier estrategia de WhatsApp que cumpla con el RGPD:
- Se debe obtener el consentimiento explícito de los usuarios, informando claramente sobre los datos que se recopilan (por ejemplo, su número de teléfono), cómo se van a utilizar y con quién se compartirán (si aplica).
- Es preciso aplicar protocolos de gestión de datos, con procedimientos para atender solicitudes de acceso, rectificación o eliminación de datos o de chats que contengan datos personales cuando ya no sean necesarios.
- Generar buenas prácticas en WhatsApp, evitando compartir información sensible o confidencial en el chat, incluyendo datos bancarios o de salud. Para ello resulta igualmente imprescindible la formación del personal.
En este sentido, se recomienda el uso de WhatsApp Business o WhatsApp API, diseñadas para fines comerciales y que ofrecen herramientas que facilitan el cumplimiento del RGPD, como la configuración de políticas de privacidad o el uso de respuestas automáticas con avisos legales.
La utilización de WhatsApp Business Platform a través de una API ofrece beneficios claros en este sentido ya que permite configurar flujos automáticos orientados a automatizar las comunicaciones en WhatsApp vinculadas al RGPD. Por ejemplo, a través de la API es posible almacenar la información de consentimiento automáticamente, además de hacer que los datos estén disponibles fácilmente.
Es aquí donde destaca el uso de plataformas de marketing conversacional en WhatsApp como Blip.
Como parte de nuestra ayuda para diseñar experiencias conversacionales, desde Blip ofrecemos asesoramiento para ofrecer todas las garantías de cumplimiento vinculadas a WhatsApp y GDPR.
Todo ello teniendo en cuenta las necesidades diversas de cada empresa, atendiendo tanto los requisitos para pequeñas y medianas empresas, como los niveles de complejidad a la hora de ofrecer garantías en WhatsApp y GDPR que pueden requerir empresas de mayor tamaño.
¿Quieres saber más sobre cómo garantizar el cumplimiento del RGPD en WhatsApp? Ponte en contacto con nosotros y habla con nuestro equipo sobre cómo nuestra plataforma Blip puede ayudarte.