Protección de datos para servicio al cliente a través de WhatsApp – Entrevista con Dr. Carsten Ulbricht

 In Comunicación via mensajerías

A principios de noviembre nos reunimos con el abogado y experto en Internet Dr. Carsten Ulbricht para discutir con él temas actuales sobre mensajerías, WhatsApp, protección de datos, servicio al cliente y RGPD. Aquí hemos resumido las declaraciones más importantes.

Carsten Ulbricht es abogado en el bufete jurídico Bartsch y trata desde hace muchos años con Internet y redes sociales. Además de su trabajo a tiempo completo, dirige el blog rechtzweinull.de, y en los últimos años se ha ocupado principalmente del RGPD. Ya ha ayudado a numerosas empresas en la implementación del RGPD, especialmente en el tema de protección de datos en WhatsApp, que también hoy es el tema actual de este podcast.

 

  1. ¿Son mensajerías como WhatsApp tendencialmente más “arriesgadas“ que otros canales digitales como redes sociales o correo electrónico?
  2. ¿Puedo como empresa comunicarme a través de WhatsApp con mis clientes?
  3. ¿Qué puntos del RGPD son relevantes para el tema de comunicación a través de las mensajerías?
  4. Protección de datos en WhatsApp: ¿es el Messenger Marketing a través del software de MessengerPeople una solución conforme al RGPD?
  5. Servicio al cliente a través de las mensajerías: ¿hay recomendaciones especiales o advertencias cuando se ofrecen las mensajerías (WhatsApp, Apple Business Chat) para la comunicación de datos personales sensibles como datos bancarios o de salud?
  6. ¿Después de qué tiempo se deben borrar los datos de una consulta de servicio al cliente? (conceptos de eliminación)
  7. En general: ¿cómo calificas la protección de datos de Apple Business Chat (RGPD)?

 

Resumen de las declaraciones más importantes sobre el tema de protección de datos y Messenger Marketing:

1) Sobre la comunicación a través de las mensajerías y RGPD:

  • Se deben cumplir 3 cosas: legitimación, informaciones y seguridad de datos
  • El proceso de registro en MessengerPeople es super seguro
  • El OptIn a través del widget de MessengerPeople es especialmente transparente y también especialmente bien documentado

 

2) Sobre la transferencia de datos a WhatsApp:

  • Problema: WhatsApp accede a los datos en la guía telefónica y los procesa (aunque brevemente) en Estados Unidos
  • El cliente de MessengerPeople actúa a través del desarrollado software especial y no necesita instalar la aplicación de WhatsApp – por lo que no existe el problema

 

3) Sobre el servicio al cliente a través WhatsApp

  • En general no hay restricciones sobre qué datos pueden intercambiar las empresas y los clientes a través de las mensajerías
  • Lo que es importante es que las empresas den información completa de antemano sobre qué pasa con los datos y la legitimidad del cliente
  • El cifrado de extremo a extremo de WhatsApp es muy bueno y un canal adecuado para servicio al cliente
  • Especialmente y en casos individuales se debe mirar esto en datos del sector de la salud

 


También interesante: 

Utilizar WhatsApp para empresas conforme a la protección de datos del RGPD


Entrevista completa con Dr. Carsten Ulbricht sobre el tema WhatsApp y protección de datos

1) ¿Son mensajerías como WhatsApp tendencialmente más “arriesgadas“ que otros canales digitales como redes sociales o correo electrónico?

No, naturalmente no se puede hacer esta afirmación tan general. Lo que especialmente es un problema de protección de datos en WhatsApp es – y que muchos ya lo habrán escuchado – cuando instalo la aplicación en mi dispositivo, ya que WhatsApp lee mis datos de contacto sin preguntarme y los transmite a Estados Unidos, donde probablemente serán también procesados. ¿Por qué WhatsApp hace esto? Porque dice: “Si queremos conectar a la gente necesitamos también los números de teléfono“ – y esto también es comprensible técnicamente hablando.

Este es el criterio esencial de identificación, y en esta medida también es comprensible desde el punto de vista de WhatsApp. Pero desde un punto de vista de protección de datos es problemático, ya que no puedo pasar todos los números de teléfono de mis contactos a WhatsApp.

Un apunte más sobre esto, y que se afirma cada vez más: considero que en el ámbito privado legalmente no es un problema, ya que con mi procesamiento de datos privados no estoy incluido de ninguna manera en el RGPD. De lo contrario tendría que pensar si no necesito un supervisor de protección de datos cada vez que doy mi número de teléfono, y esto sería malo. Pero donde realmente interviene es cuando lo hago a través de un móvil de empresa o utilizo WhatsApp como empresa y paso datos personales a WhatsApp, por ejemplo números de teléfono, para lo que sí necesito legitimación. Como regla general no he preguntado a la gente, y este el problema central de WhatsApp.

2) ¿Puedo como empresa comunicarme a través de WhatsApp con mis clientes?

Para ello solo debo evitar esta transferencia de datos a WhatsApp. Esto puedo hacerlo instalando las herramientas adecuadas en mi móvil, que simplemente impidan esta transferencia de datos, o impedir el acceso de WhatsApp a mi teléfono, con lo que resolvería el problema principal.

 

En MessengerPeople no es ningún problema, porque este proceso no existe. La empresa que quiere comunicarse con sus clientes lo hace a través de la plataforma de MessengerPeople. No necesita ese proceso de instalación y hasta ahora no se han presentado objeciones.

 

3) ¿Qué puntos del RGPD son relevantes para el tema de comunicación a través de las mensajerías?

Voy a aclarar de forma sencilla en tres frases la protección de datos, y aquí también cuenta la protección de datos en WhatsApp:

  1. Siempre que como empresa proceso datos personales necesito para ello una legitimación.
  2. Es decir, hay diferentes hechos de legitimación que están en el artículo 6 del RGPD. Estos me dicen cuándo puedo procesar los datos.
  3. Después está el artículo 13 del RGPD, que me dice a mí como empresa qué informaciones debo dar al interesado para que sepa qué pasa con sus datos.

 

Juguemos por el Messenger Marketing: supongamos que impido el intercambio de datos de vuestro servicio a WhatsApp, entonces debo asegurarme como empresa que mi procesamiento de datos y mi comunicación con los clientes es legítima, lo que significa que obtengo un consentimiento.

Entonces digo a mis clientes: “Estimado cliente, tenga en cuenta que si quieres comunicarte conmigo a través de WhatsApp se hará lo siguiente con tus datos 1.) 2.) 3.)“. Debo enumerar todo y el cliente tomar una decisión. Debe decir activamente: ”¡Sí! Estoy de acuerdo“. Y así se cumple con la legitimación.

Aunque, como dije, debo poner a disposición todavía más información, como por ejemplo qué datos se procesan, quién los procesa, a quién van a ser transferidos… por lo que también tendría que escribir un ejemplo de cómo se podrían observar los metadatos de WhatsApp en Estados Unidos. Entonces debo escribir cómo proceso yo mismo los datos, con qué fines, etc. Y por supuesto tengo que informar a los clientes sobre sus derechos. ¿Puede la gente exigir la eliminación? ¿Puede pedir información? Tengo que informarle sobre ello.

¡Y esto es válido para cada canal digital! Por tanto también para el Messenger Marketing, y, como acabo de describir, esto se soluciona bastante bien. Resumiendo: 1.) Informar exhaustivamente de cómo quiero procesar los datos. 2.) Cómo los datos son procesados por terceros. 3.) Obtener el consentimiento. Todo bien.


Prueba el software de MessengerPeople ahora 14 días gratis!

4) ¿Es el Messenger Marketing a través del  software de MessengerPeople una solución conforme al RGPD?

Es super legal.

¿Qué es realmente el doble OptIn en E-Mail Marketing? El problema es que si quiero molestarte cojo tu dirección de correo electrónico y la registro en miles de newsletters. Realmente aceptaste una vez, porque registraste tu dirección de correo electrónico, pero no pueden demostrar que eras tú. Por ello existe en el E-Mail-Marketing este segundo proceso OptIn. Si luego dices “sí, estoy de acuerdo“, entonces está claro que eres el propietario de la bandeja de correo electrónico.

Seguro que estas ideas os han llevado al Messenger Marketing y protección de datos de WhatsApp. Vosotros decís: “bueno, el número de teléfono lo puede registrar en un principio cualquiera; pero lo que no sé es si realmente es el propietario de ese número de teléfono”. De ahí este segundo proceso de OptIn. Esto es super legal. Por decirlo de otra manera, no se necesita de ninguna manera obligar. Por ello existe este proceso de doble OptIn, que también es bueno.   

 

5) Servicio al cliente a través de las mensajerías: ¿hay recomendaciones especiales o advertencias cuando se ofrecen las mensajerías (WhatsApp, Apple Business Chat) para la comunicación de datos personales sensibles como datos bancarios o de salud?

Cuando proceso datos personales necesito para ello una legitimación. Para datos “normales“ los hechos de legitimación están el artículo 6 del RGPD; para datos personales especiales, como por ejemplo datos de salud, está el artículo 9 del RGPD. Son un poco diferentes, sin embargo como resultado es que puedo legitimar desde mi punto de vista cada uno de estos procesos a través de un consentimiento informado. Ya he discutido mucho sobre esto con las autoridades de protección de datos, que a veces lo ven de forma diferente, pero me gustaría explicar brevemente mi punto de vista. Porque en principio son mis datos.

En el momento en que tengo toda la información a mi disposición para poder decidir, ”esto quiero, esto no quiero“, entonces debo poder decidir.

Y todo lo que hacemos en protección de datos recae sobre el derecho de ”autodeterminación informativa“.  Si se quiere, el Tribunal Constitucional ha inventado esta ley para permitir que todos decidan qué quieren hacer con sus datos.

Dicho esto, creo que es correcto e importante que esta información se dé muy exhaustivamente, para que el usuario pueda tomar realmente una decisión informada y entonces diga que le gustaría utilizar WhatsApp u otro canal de comunicación porque es igual de práctico y fácil. En ese caso también está bien.

 

En definitiva: con un consentimiento se puede regular también el tema de servicio al cliente y protección de datos de WhatsApp. Con datos de salud habrá que cerciorarse de nuevo de otras condiciones, como por ejemplo más seguridad con los datos, y ser algo más cauteloso. Pero todos los demás datos para servicio al cliente a través de WhatsApp no están excluidos desde mi punto de vista, sino adaptables con un consentimiento.


6) ¿Después de qué tiempo se deben borrar los datos de una consulta de servicio al cliente? (conceptos de eliminación)

La protección de datos quiere guardar y mantener la menor cantidad de datos posible. La pregunta que puede plantearse es que si obtengo datos solo puedo guardarlos durante un tiempo determinado. Lo que significa que necesito el llamado concepto de eliminación como empresa y se deben pensar algunas cosas.

¿Cómo creo esto con sentido? Porque naturalmente yo mismo puedo borrar todo, pero lo que se guarda en otro lugar, como por ejemplo en WhatsApp, solo puedo eliminarlo de forma limitada. Pero volviendo atrás: debido a que tenemos un cifrado de extremo a extremo probablemente no tenemos datos personales en WhatsApp y por ello no necesito preocuparme en este caso de la eliminación.

Sin embargo debería establecer un concepto de eliminación para mí mismo. Debería reflexionar: ¿cuánto tiempo tengo un interés válido y tolerable en los datos? Mientras que deba mantenerlos. Si los dejo legitimar a través de un consentimiento debería decirlo también, para que la gente lo sepa, y debería aclararles también que en todo momento pueden contradecir y exigir la eliminación de estos. Estas son informaciones que debo darles.

 

7) Desde comienzos de octubre también ofrecemos Apple Business Chat – una solución fascinante para muchas empresas, especialmente en el área local. En general, ¿cómo valoras Apple Business Chat con relación a la protección de datos?

Debo decir que no lo he visto con detenimiento. Tuve que verlo pero en realidad puedo repetir de nuevo lo que dije anteriormente. Hay tres puntos para tener en cuenta si quiero como empresa utilizar Apple Business Chat.

  1. He de asegurarme que no transmito ningún dato a Apple que no debo transmitir.
  2. He de asegurarme que la gente que quiere comunicarse conmigo a través de Apple Business Chat debe otorgarme un consentimiento informado. Para ello debo pensar: ¿cómo creo esto? ¿Hago un doble OptIn o algo similar? Debo resolver esto técnicamente y proporcionar la información.
  3. Si utilizo uno de estos canales para la comunicación con los clientes debo cuidarme un poco de que también sea seguro.

 

No sé exactamente cómo funciona en Apple Business Chat, como he dicho lo he mirado poco. El cifrado de extremo a extremo de WhatsApp es ciertamente bueno, y si ofrecen algo parecido seguramente sea igual de bueno; simplemente no puedo responder porque no he hecho todavía nada con ello.

¡Muchas gracias Carsten!

 

Messenger in Customer ServiceWhatsApp Business API