WhatsApp, móviles personales y trabajo: el gran riesgo de protección de datos que muchas empresas ignoran

En miles de empresas españolas, los empleados utilizan WhatsApp en sus móviles personales para comunicarse con clientes, enviar presupuestos, compartir documentos e incluso gestionar reclamaciones. Lo que parece una práctica cómoda y natural esconde un problema grave de protección de datos que la mayoría de organizaciones no ha abordado.

La realidad: WhatsApp es la herramienta de trabajo no oficial de España

Según diversos estudios, más del 70% de los trabajadores españoles utiliza WhatsApp con fines laborales, muchas veces desde su propio teléfono móvil. Comerciales que envían catálogos a clientes, recepcionistas que confirman citas, técnicos que comparten fotos de incidencias, departamentos de recursos humanos que gestionan turnos... La lista es interminable.

El problema no es que los empleados quieran ser eficientes. El problema es que ninguna de estas comunicaciones está bajo el control de la empresa, y los datos personales que circulan por esos chats quedan completamente fuera de cualquier política de seguridad.

¿Por qué WhatsApp es un problema para el RGPD?

WhatsApp pertenece a Meta (antes Facebook) y, aunque ofrece cifrado de extremo a extremo en los mensajes, presenta varios problemas graves desde la perspectiva de la protección de datos:

1. Transferencias internacionales de datos

Al utilizar WhatsApp, los metadatos de las comunicaciones se transfieren a servidores de Meta en Estados Unidos. Tras la invalidación del Privacy Shield por el Tribunal de Justicia de la UE (sentencia Schrems II), las transferencias de datos a EE.UU. están bajo un escrutinio especial. Aunque existe el nuevo Marco de Privacidad de Datos UE-EE.UU., la empresa debe poder justificar que la transferencia es legítima y cumple con las garantías adecuadas.

2. Acceso a la agenda de contactos

WhatsApp accede a toda la agenda de contactos del teléfono del empleado. Si ese teléfono es personal y contiene contactos de clientes, proveedores y otros empleados, se está produciendo una cesión de datos a Meta sin consentimiento de los interesados y sin base legal que lo ampare.

3. Sin control sobre los datos

La empresa no tiene ningún control sobre qué datos se comparten por WhatsApp, quién accede a ellos, si se reenvían a terceros, si se guardan capturas de pantalla o si se descargan archivos adjuntos. No hay registro de actividad, no hay posibilidad de auditoría y no hay forma de garantizar el ejercicio de derechos de los interesados.

4. No hay contrato de encargado del tratamiento

El RGPD exige que cuando un tercero trata datos en nombre de la empresa, se firme un contrato de encargado del tratamiento (artículo 28 RGPD). WhatsApp no ofrece esta posibilidad para cuentas personales, lo que supone un incumplimiento directo de la normativa.

El problema BYOD: móviles personales en el trabajo

BYOD (Bring Your Own Device) es la práctica de permitir que los empleados utilicen sus dispositivos personales para trabajar. En España es extremadamente común, especialmente en pymes, donde no se proporcionan teléfonos corporativos.

El uso de dispositivos personales para fines laborales supone que:

• Los datos de la empresa conviven con datos personales del empleado, lo que dificulta la separación y el control.
• No se pueden aplicar medidas de seguridad corporativas (cifrado obligatorio, borrado remoto, restricción de aplicaciones).
• En caso de pérdida o robo del dispositivo, los datos de clientes quedan expuestos sin que la empresa pueda actuar.
• El empleado puede negarse legítimamente a que la empresa acceda a su dispositivo personal, lo que impide cualquier auditoría.

¿Qué dice la AEPD?

La Agencia Española de Protección de Datos ha sido clara en varias resoluciones e informes: la empresa es responsable del tratamiento de los datos personales que sus empleados manejan, independientemente de la herramienta o dispositivo que utilicen. La AEPD ha señalado expresamente que el uso de WhatsApp para comunicaciones profesionales debe estar regulado por una política interna y que la empresa debe garantizar que se cumplen los principios del RGPD.

En resoluciones recientes, la AEPD ha sancionado a empresas por no controlar adecuadamente los canales de comunicación con clientes, especialmente cuando se utilizaban aplicaciones de mensajería sin las garantías adecuadas.

Soluciones prácticas: qué puede hacer tu empresa

Resolver este problema no significa prohibir la tecnología, sino gestionarla de forma responsable. Estas son las medidas más efectivas:

1. Dispositivos corporativos

La solución más segura es proporcionar teléfonos de empresa a los empleados que manejan datos de clientes. Esto permite aplicar políticas de seguridad, controlar las aplicaciones instaladas y realizar un borrado remoto en caso de pérdida o cese del empleado.

2. Gestión de dispositivos móviles (MDM)

Si no es viable entregar dispositivos corporativos, existen soluciones MDM (Mobile Device Management) que permiten crear un espacio de trabajo seguro dentro del móvil personal del empleado, separando completamente los datos laborales de los personales.

3. WhatsApp Business API

Para empresas que necesitan comunicarse con clientes por WhatsApp, la API de WhatsApp Business ofrece un entorno controlado con registro de conversaciones, gestión centralizada y posibilidad de cumplir con el RGPD. No es lo mismo que la app gratuita de WhatsApp Business.

4. Plataformas de mensajería corporativa

Herramientas como Microsoft Teams, Slack o Google Workspace ofrecen canales de comunicación interna con cifrado, control de acceso, registro de actividad y posibilidad de borrado. Son alternativas mucho más seguras para la comunicación interna.

5. Política de uso de dispositivos y comunicaciones

Independientemente de la solución técnica, toda empresa debe contar con una política clara que regule:

• Qué herramientas de comunicación están autorizadas para uso laboral
• Qué tipo de datos pueden y no pueden compartirse por mensajería
• Obligaciones del empleado al cesar en la empresa (borrado de datos)
• Protocolo ante pérdida o robo de dispositivos
• Formación periódica sobre protección de datos en comunicaciones
• Normas sobre el uso de dispositivos personales (BYOD)

Consecuencias de no actuar

Ignorar este problema no lo hace desaparecer. Las consecuencias pueden ser graves:

• Sanciones de la AEPD: multas que pueden alcanzar los 20 millones de euros o el 4% de la facturación global anual, según la gravedad de la infracción.
• Brechas de seguridad: la pérdida o filtración de datos de clientes obliga a notificar a la AEPD en un plazo de 72 horas y, en muchos casos, a informar individualmente a todos los afectados.
• Pérdida de clientes: una brecha de datos destruye la confianza y puede suponer la pérdida de contratos, especialmente con empresas que exigen a sus proveedores cumplimiento normativo.
• Responsabilidad civil: los afectados pueden reclamar indemnización por los daños derivados del tratamiento ilícito de sus datos.

Conclusión

El uso de WhatsApp y móviles personales en el entorno laboral es una realidad que no va a desaparecer, pero debe gestionarse con responsabilidad. Las empresas que sigan ignorando este riesgo se exponen a sanciones, brechas de seguridad y pérdida de confianza. La solución no es complicada: requiere una política clara, las herramientas adecuadas y el asesoramiento de profesionales que conozcan la normativa.

En ConfidencialyDat ayudamos a empresas de todos los tamaños a regularizar el uso de herramientas digitales y dispositivos móviles en el trabajo. Si no sabes por dónde empezar, contacta con nosotros para una consulta sin compromiso.