Grupos de WhatsApp corporativos

Es más que habitual que tengamos un grupo de WhatsApp corporativo en el que no sólo compartimos memes, noticias o curiosidades, sino en el que también compartimos comunicaciones relacionadas con la gestión de recursos humanos (imprevistos, incidencias o permisos si nos hemos puesto enfermos nosotros o nuestros hijos, si solicitamos cambiar un turno, vacaciones, etc.), cuestiones relacionadas con la gestión del trabajo (pedidos, turnos, trabajos pendientes…) o incluso de los clientes… y ahí es donde debemos llevar más cuidado.

Las aplicaciones de mensajería instantánea (WhatsApp, Telegram, Signal…) proporcionan funcionalidad e inmediatez en nuestro trabajo diario, pero debemos tener en cuenta que cuando las usemos debemos hacerlo cumpliendo con la normativa para ello.

Uno de los principales objetivos de la normativa de protección de datos es que todo el personal de la empresa interiorice y aplique la cultura de privacidad, y en el uso de aplicaciones de mensajería instantánea debemos tener en cuenta tres condiciones fundamentales:

  • Cuando las usemos para uso corporativo debemos utilizar las versiones profesionales (WhatsApp Business), creadas específicamente para facilitar las comunicaciones en el ámbito empresarial.
  • Estas aplicaciones deben utilizarse únicamente como canal de comunicación a nivel informativo, no como medio para compartir datos personales o información comercial.
  •  Si creamos un grupo, se debe solicitar el consentimiento a todos sus miembros, ya que podrán acceder a datos del resto de miembros.

En caso de que se compartan datos personales o información confidencial, se debe asumir la responsabilidad que ello implica:

  • Si se comparte información personal supondría una transferencia de datos personales (TID), ya que la sede y ubicación del servidor de WhatsApp está en EEUU y ya sabemos que el tipo de leyes allí dista bastante de la normativa europea.
  • Alguien podría leer los mensajes, ya que quedan almacenados sin cifrar.
  • Si hacemos copias de seguridad en Google Drive, también se generan sin cifrar.
  • Equivocaciones al enviar la información, a un chat equivocado o a nuestro “estado”.
  • Si están instaladas en móviles particulares de los trabajadores, la organización no puede controlar que se borre de forma segura, más aun cuando el trabajador causa baja.

Si, además, los datos que tratamos son datos sensibles como son los datos de salud, el riesgo y sobre todo el impacto que pueden tener esos riesgos se multiplican. ¡¡¡He estado presente en farmacias, en las que un cliente ha enviado su receta con “toditos” sus datos al WhatsApp de un empleado!!!  Desde luego además de “educar” al trabajador en la cultura de privacidad también tenemos que hacerlo con los clientes.

Si eres titular y quieres crear (o ya tienes creado) un grupo de WhatsApp corporativo, debes saber que es lícito y coherente que como empleador tengas derecho a conocer los datos personales necesarios para el normal desarrollo de la relación laboral (por ejemplo: nombre y apellidos, NIF, Nº SS, nacionalidad, discapacidad, fecha de nacimiento, etc.). Sin embargo, hay otros datos personales que no son imprescindibles para la ejecución del contrato de trabajo y por tanto el trabajador no está obligado a proporcionarlos, aunque puedas considerar razonable que los necesitas para contactar con el empleado: dirección, correo electrónico personal, número de teléfono, o nombre de usuario en redes sociales y portales de internet.

No obstante, y basándome en jurisprudencia tanto del Tribunal Supremo (STS 163/2021 Rec. 84/2019 y STS 4086/2015 Rec. 259/2014) como en resoluciones de la AEPD (AI-00050-2022; PS-00480-2021 y PS00270-2022), así como en la propia Guía sobre la Protección de Datos en las Relaciones Laborales de la AEPD, es conveniente analizar las características de cada relación laboral para determinar qué datos son imprescindibles o no. Pongamos un ejemplo:

Recientemente, un empleado puso una reclamación ante la Agencia Española de Protección de Datos (AI-00050-2022) porque su empresa “le ha incluido sin su consentimiento en dos grupos de WhatsApp (…) En los grupos publican datos relativas a las rutas de reparto, las personas que la realizan, las horas, la ubicación de las furgonetas al terminar la jornada laboral y diversa información laboral. Todos los integrantes de los grupos tienen acceso a esta información de los demás compañeros. Según afirma, en los citados grupos se publica toda la información que necesitan para desarrollar su relación laboral, por esa razón no puede salirse de los grupos.”

La empresa había informado a los trabajadores “de la utilización como canal de comunicaciones de la App de mensajería instantánea WhatsApp, con la finalidad de utilizar esta vía de comunicación en asuntos relacionados con el contrato de trabajo, condiciones laborales, organización y desarrollo de tareas de trabajo y reparto, incluyendo su nombre, apellidos y número de teléfono”. La empresa entiende que la utilización de dispositivos móviles y sus herramientas como medio de comunicación interno entre la misma y sus trabajadores es imprescindible para su trabajo ya que se realiza fuera de la sede laboral (empresa de mensajería).

En este caso, la finalidad de esos grupos era imprescindible para la consecución del trabajo y además la empresa informó a los trabajadores de la finalidad y la licitud del tratamiento. En este caso no se compartían datos personales sino datos sobre la organización del trabajo, por tanto, se desestimó la reclamación por parte de la AEPD. Esta reclamación supone un cambio de criterio por parte de la AEPD, lo que implica que en algunos casos desde ahora las empresas podrán incluir a sus trabajadores en estos grupos sin la necesidad de recabar su consentimiento.

Pero ¿CUÁLES SON LAS CONDICIONES PARA QUE LA INCLUSIÓN DE UN NÚMERO DE TELÉFONO PERSONAL EN GRUPOS DE MENSAJERÍA INSTANTÁNEA CORPORATIVOS SEA LÍCITA?

  1. DEBE SER VERDADERAMENTE NECESARIO PARA LA RELACIÓN LABORAL.
  2. SE DEBE CONTAR CON EL CONSENTIMIENTO DE LA PERSONAL TRABAJADORA (pacto con la empresa), Y QUE SE CONSIDERE PRESTADO LIBREMENTE.
  3. LA EMPRESA DEBE ASUMIR LOS COSTES (es decir, no puede obligarle a tener un dispositivo móvil con acceso a internet, tendría que proporcionarlo la empresa si es necesario para el trabajo o abonarle los costes de forma razonable)

CONCLUSIONES

Estas aplicaciones deben utilizarse únicamente como canal de comunicación a nivel informativo, no como medio para compartir datos personales o información comercial, más en la farmacia o en el ámbito sanitario que los datos de los clientes generalmente llevan asociados datos de salud que debemos proteger con medidas de seguridad más estrictas.

Utilizar versiones profesionales de la aplicación que utilicemos (WhatsApp Business).

No es lícito solicitar obligatoriamente al trabajador datos personales que no son necesarios para la relación laboral: email particular, número de teléfono, dirección, etc. Únicamente si el trabajador está de acuerdo se pueden proporcionar a la empresa.

Por tanto, para crear un grupo de WhatsApp (u otra aplicación de mensajería instantánea) el trabajador nos debe proporcionar su número de teléfono de forma voluntaria.

Debemos recoger el consentimiento del trabajador para incluirlo en un grupo de WhatsApp corporativo, salvo que en el grupo únicamente se compartan datos referidos a la organización del trabajo, y nunca se compartan datos personales. En este caso bastará con informar al trabajador de la inclusión a este grupo. Tanto en un caso como en otro (consentimiento o información) debemos indicar los preceptos del art. 13 del RGPD: Identificación del Responsable del Tratamiento; Datos de contacto de DPO si hubiera; Fines del tratamiento; Base jurídica del tratamiento; Destinatarios o Categorías de interesados; Transferencias Internacionales de datos; plazos de conservación y Derechos.

En el caso de las farmacias y centros sanitarios, debemos recoger el consentimiento de los trabajadores y proporcionar la información relativa a la finalidad de los grupos. Salvo casos concretos, en estos grupos no se pueden compartir datos de personales (clientes/pacientes) sino únicamente realizar comunicaciones relacionadas con la gestión de RRHH (tampoco partes médicos o datos sensibles de los propios trabajadores) y con la gestión administrativa (trabajos pendientes, pedidos, temas organizativos…)

Antes de incluir a un nuevo trabajador al grupo debe haber firmado el consentimiento de forma libre y voluntaria (no está obligado a darnos su número y así le tenemos que informar).

En caso de una baja laboral definitiva, podemos tranquilamente (y debemos) eliminar a esa persona del grupo corporativo.

Si estás pensando en crear un grupo de WhatsApp corporativo con tus trabajadores o ya lo tienes y no has recogido el consentimiento de los miembros del grupo, contacta con nosotros y te pautaremos encantados.

16 de febrero de 2023

Verónica García