Compliance y WhatsApp, una relación problemática.

 

Todo el mundo utiliza WhatsApp y/o herramientas similares. Cada vez más, se utiliza WhatsApp también en las empresas. Es más cómodo, más directo y más rápido que emails. Esta tendencia se refuerza con las políticas de BYOD (bring your own device). El uso de WhatsApp en el mundo de los negocios es cómodo y por esta razón no parece tener alternativa. Sin embargo, se está transformando en un dolor de cabeza para los Compliance Officers, porque trae (entre otros) dos problemas de costados opuestos.

  1. Por un lado, el Departamento de Justicia de los EEUU requiere (aflojando requisitos anteriores en su resolución del 12 de Marzo 2019) que empresas mantengan “adecuada guía y controles” para asegurar la retención de los mensajes con “business records” y comunicaciones, de acuerdo con su política de retención de documentos, respectivamente sus obligaciones legales correspondientes. Esto es más fácil dicho que hecho. WhatsApp envía y recibe mensajes encriptados, lo que hace su intercepción y por ende retención y archivo difícil. Las maneras disponibles para acceder y retener el contenido de las comunicaciones por WhatsApp (por ejemplo la instalación de herramientas que sacan y guardan screenshots, u obligar al empleado a realizar backups de sus WhatsApp comunicaciones dándole acceso a la compañía) son incómodas, caras, lejos de ser confiables o manipulables (para más detalles vea acá).
  2. Las mismas herramientas disponibles para cumplir con las exigencias del Departamento de Estado de los EEUU (y los requerimientos actuales y previsibles de otros reguladores que típicamente le siguen los pasos) entran en conflicto con regulaciones de Privacidad de Datos, prominentemente las GDPR (General Data Protection Regulation) Europeas. Las GDPR obligan a las compañías a proteger los datos que procesan o controlan y aplican a una importante cantidad de empresas en la Argentina por ser subsidiaria de una compañía con sede en la EU, por tener a residentes Europeos (estén o no en la EU) como proveedores o como clientes, por seguir a residentes Europeos por sus páginas web o por procesar datos que incluyen información de residentes de la EU por otros negocios. Casos de infracción traen como consecuencia, multas exorbitantes.

Algunas de las obligaciones de las empresas según GDPR son:

  • Su obligación de tener el permiso de las personas cuyos datos se retienen – tema difícil por el uso automático de la lista de contactos por WhatsApp.
  • Su obligación de asegurar la protección de los datos de clientes y empleados – tema también difícil por el modelo de negocio de WhatsApp que pertenece a Facebook.
  • El “derecho al olvido” de empleados y clientes de datos que la compañía no utiliza más.
  • Su obligación de reportar dentro de 72 horas a la autoridad de aplicación cualquier “hackeo”, salvo que probablemente nadie será afectado.

Para conocer más obligaciones según las GDPR y detalles vea acá y acá.

Las presiones de mantener por un lado registros completos de las comunicaciones de los empleados y por el otro lado de proteger sus datos, constituyen un abanico de riesgos de difícil mitigación. Las (en si complejas) mitigaciones del riesgo de incumplir el requisito de retención de las comunicaciones por WhatsApp de los empleados, entra en la práctica en conflicto con las regulaciones cada vez más estrictas de la privacidad de datos y viceversa. Las posibles soluciones como el de prescribir el uso de celulares, notebooks y tablets de propiedad de la empresa y el acuerdo explícito de los empleados con políticas que le permiten a la empresa retener sus comunicaciones, resuelven el tema solo en forma parcial, y no son compatibles con la tendencia hacia el “bring your own device”. Además, encuentran la resistencia de los empleados a que en su celular u otro dispositivo mezclan su mundo de trabajo con el de su vida privada, que no tienen por qué compartir con su empleador.  Y ninguna solución práctica a la vista.