Quien es el responsable del tratamiento de datos?
En el contexto de la API de WhatsApp Business, tu empresa es el responsable del tratamiento de los datos de tus clientes. El proveedor BSP (Chat API) es un encargado del tratamiento que actua en tu nombre. Meta es un encargado del tratamiento adicional para la infraestructura de WhatsApp.
Esta cadena de responsabilidades debe formalizarse mediante DPA con cada parte. Chat API proporciona un DPA estandar conforme al GDPR.
Base juridica para los distintos tipos de comunicacion
Para las comunicaciones transaccionales, la base juridica mas apropiada es la ejecucion del contrato (art. 6.1.b GDPR). Para las comunicaciones de marketing y promocionales en WhatsApp, la base juridica es el consentimiento explicito (art. 6.1.a GDPR).
Politica de privacidad y transparencia
Actualiza tu politica de privacidad para incluir el uso de la API de WhatsApp Business como herramienta de comunicacion, especificando: el proveedor BSP utilizado (Chat API de Roxpay), los fines del tratamiento, los tipos de datos, los periodos de conservacion y los derechos de los interesados.
Medidas tecnicas y organizativas
Las medidas tecnicas minimas requeridas por el GDPR incluyen: acceso a los paneles de gestion solo para el personal autorizado, registros de acceso, datos cifrados en transito y en reposo, y procedimientos de respuesta a incidentes.
Define una politica de conservacion de datos: para la mayoria de los fines, 12-24 meses es razonable. Implementa procesos automaticos de eliminacion de datos caducados.
