¿Cómo encajan las nuevas normativas de WhatsApp con la protección de datos?

No solo los responsables de protección de datos observan con ojo crítico a WhatsApp y servicios similares. Existen, sin embargo, alternativas europeas de mensajería que pueden ayudar a disipar estas preocupaciones.

La Autoridad Regional de Protección de Datos (LfD) de Baja Sajonia emite un juicio inequívoco y subraya que «el uso de WhatsApp por parte de empresas para la comunicación laboral infringe el Reglamento General de Protección de Datos (RGPD)». Asimismo, el Comisionado Federal de Protección de Datos ha declarado que «el uso de WhatsApp por una autoridad federal está excluido».

Las personas físicas no deben, por tanto, prescindir necesariamente de esta popular aplicación, pero su empleo para comunicarse con compañeros de trabajo podría generar problemas. Además, la modificación de las políticas de privacidad de WhatsApp anunciada para mayo de 2021 alarmó a muchos usuarios. No obstante, Niamh Sweeney, Directora de Políticas de WhatsApp, ha asegurado ya que, con dicha actualización, no cambia nada para los usuarios de la UE. Las modificaciones no afectan al intercambio de datos entre WhatsApp y su matriz, Facebook, en Europa. Según las políticas, para los usuarios de la UE no se han alterado.

Mensajeros estadounidenses: dudosos desde el punto de vista de la protección de datos

Aunque existen numerosos servicios de mensajería, la mayoría proceden de Estados Unidos y, por tanto, no ofrecen ventajas reales frente a WhatsApp en materia de protección de datos. En julio de 2020, el Tribunal de Justicia de la Unión Europea (TJUE) anuló el denominado Privacy Shield, marco diseñado para regular la transferencia de datos a Estados Unidos. Con ello, el uso de servicios de mensajería estadounidenses resulta, en general, problemático desde el punto de vista jurídico de la protección de datos para las empresas europeas.

Dos servicios estadounidenses promocionan su conformidad con la normativa de protección de datos: Telegram y Signal. Mientras que el primero ha caído en desgracia, Signal es gestionado por una fundación sin ánimo de lucro. Esta fundación hace hincapié en su conformidad con la normativa de protección de datos y renuncia por completo a la publicidad. No obstante, sigue vigente la desventaja derivada de su sede en Estados Unidos: ello implica su sometimiento a las leyes y autoridades estadounidenses, así como a una utilización opaca de los datos por parte del proveedor.

«En el caso de empresas con actividad global, al elegir un servicio de mensajería no es determinante únicamente el nivel de protección de datos equivalente al de la UE. Lo que realmente cuenta es la capacidad de alcanzar a los socios comerciales, es decir: la conocida difusión y popularidad del servicio. WhatsApp alcanza aproximadamente a 2 000 millones de usuarios, WeChat a 1 300 millones, Telegram a 500 millones y Signal a 50 millones. A partir de ahí, la cifra desciende considerablemente.

Es llamativo, no obstante, que muchas empresas desconozcan bien sus propias condiciones de uso: éstas contienen frecuentemente obligaciones que las empresas simplemente no pueden cumplir.

Existen, ciertamente, medidas para garantizar un uso seguro de los servicios de mensajería; sin embargo, son costosas y engorrosas para el usuario. Por tanto, quienes operan exclusivamente en Europa deberían preferir alternativas europeas.»

Se demandan soluciones europeas

Afortunadamente, existen alternativas europeas.

• Threema procedente de Suiza no recopila ningún dato de los usuarios y no incluye publicidad. Según afirma la empresa, esta solución es, por tanto, 100 % conforme al RGPD.
• Wire, con sedes en Alemania y Suiza, también puede garantizar convincentemente que los datos permanecen dentro de la UE, asegurando así la conformidad con el RGPD.
• Ginlo, con sede en Múnich, es 100 % fabricado en Alemania, y por ende conforme a la normativa de protección de datos. Así queda garantizada una comunicación segura con colegas y socios externos.

Independientemente del servicio de mensajería que finalmente se utilice profesionalmente, msecure le asesora gustosamente sobre todos los temas relacionados con la seguridad de la información de su empresa.

Hechos clave

Derechos de las personas afectadas: El número de solicitudes de información según el artículo 15 del RGPD ha aumentado desde 2018 en más del 400 %.

Obligación de notificación: Las brechas de datos deben notificarse a la autoridad de control en un plazo de 72 horas.

Preguntas frecuentes

¿Qué sanciones se prevén por infracciones del RGPD?

Sanciones pecuniarias de hasta 20 millones de euros o del 4 % de la facturación anual mundial – lo que resulte mayor – . Además, pueden surgir reclamaciones de indemnización por daños y perjuicios por parte de las personas afectadas.

¿Qué es una evaluación de impacto relativa a la protección de datos (EIPD)?

Una EIPD es una evaluación sistemática de los riesgos que una actividad de tratamiento de datos supone para los derechos y libertades de las personas afectadas. Es obligatoria cuando el tratamiento pueda entrañar un riesgo elevado – por ejemplo, en casos de elaboración de perfiles, videovigilancia o tratamiento de categorías especiales de datos personales.

¿Es aplicable el RGPD también a las pequeñas empresas?

Sí, el RGPD es aplicable, independientemente del tamaño, a toda empresa que trate datos personales de ciudadanos de la UE. Las pequeñas empresas se benefician de algunas excepciones (por ejemplo, no están obligadas a llevar un registro de actividades de tratamiento si cuentan con menos de 250 empleados y su tratamiento no entraña riesgos), pero deben cumplir todos los principios fundamentales.

Artículos relacionados

• RGPD 2026: Qué va a cambiar y en qué deben fijarse las empresas
• Cómo evitar ciberataques contra infraestructuras críticas
• Accesos multioperador como garantía contra la paralización del sistema

Más contenido del MBF Media Netzwerk

• Noticias sobre nube e infraestructura en cloudmagazin.com
• Estrategias TIC para directivos en digital-chiefs.de

Fuente de imagen: Adobe Stock / andranik123

Dato: Según Munich Re, las primas de los seguros cibernéticos aumentaron en 2024 un 15 % de media.

Dato: Según Bitkom, solo el 43 % de las pymes alemanas dispone de un plan de actuación ante emergencias informáticas.

En resumen

• Además, la modificación de las políticas de privacidad de WhatsApp anunciada para mayo de 2021 alarmó a muchos usuarios.
• El Tribunal de Justicia de la Unión Europea (TJUE) anuló en julio de 2020 el denominado Privacy Shield, marco destinado a regular la transferencia de datos a Estados Unidos.
• Según afirma la empresa, esta solución es, por tanto, 100 % conforme al RGPD.
• Ginlo, con sede en Múnich, es 100 % fabricado en Alemania, y por ende conforme a la normativa de protección de datos.

Sobre el autor: Tobias Massow

Más artículos de Tobias Massow