Política de Seguridad para el uso de WhatsApp y Datos Protegidos

1. Alcance

Esta política aplica a todo el personal, contratistas, aliados y sistemas de Digital DevOps que utilicen WhatsApp (incluyendo WhatsApp Business y API) para comunicarse con clientes, prospectos, proveedores o usuarios, así como a cualquier tratamiento de datos personales y datos sensibles que ocurra por este medio.

1.1. Aplicabilidad a la app multiagent_wa_chat

Esta política es plenamente aplicable a la solución multiagent_wa_chat, un sistema multiagente de WhatsApp que permite a múltiples usuarios interactuar con clientes mediante una única cuenta/instancia.

• Control de acceso por roles (RBAC): Accesos mínimos necesarios (principio de mínimo privilegio) para agentes, supervisores y administradores.
• Trazabilidad y auditoría: Registro de inicio de sesión, envío/recepción de mensajes, cambios de configuración y exportaciones.
• Segregación de conversaciones: Asignación, visualización y filtros para evitar acceso indebido a chats no autorizados.
• Seguridad operativa: Gestión de sesiones, cierre remoto, bloqueo por inactividad y alertas de actividad anómala.
• Cumplimiento de políticas de WhatsApp: Uso de plantillas aprobadas, respeto a ventanas de mensajería y consentimientos.
• Protección de datos: Cifrado en tránsito (TLS), cifrado en reposo donde aplique y retención alineada a la sección 13.

2. Definiciones

• Datos personales: Información que identifica o puede identificar a una persona.
• Datos sensibles: Datos cuyo mal uso puede generar discriminación o riesgo significativo (salud, biométricos, creencias, origen étnico, etc.).
• Tratamiento: Cualquier operación sobre datos (recolección, uso, transmisión, conservación, supresión).

3. Base legal y principios

Digital DevOps cumple con la normativa aplicable, incluyendo la LFPDPPP (México), y buenas prácticas alineadas con el RGPD/GDPR. Principios rectores:

• Licitud, lealtad y transparencia
• Limitación de finalidad y minimización de datos
• Exactitud y limitación del plazo de conservación
• Integridad y confidencialidad
• Responsabilidad proactiva (accountability)

4. Uso permitido de WhatsApp

• Cuentas autorizadas: Solo se utilizarán cuentas corporativas verificadas o la API oficial de WhatsApp Business para comunicación con clientes.
• Finalidad: Atención al cliente, soporte, notificaciones operativas y fines comerciales legítimos previamente informados.
• Consentimiento: Se informará al usuario del uso de WhatsApp y se recabará su consentimiento cuando aplique. Se ofrecerán canales alternativos.
• Mensajes sensibles: Evitar el envío de datos sensibles por chat. Cuando sea indispensable, se utilizarán enlaces a portales seguros y autorizados.
• Plantillas: Se usarán solo plantillas aprobadas y conformes a políticas de WhatsApp y a esta política.

5. Categorías de datos y minimización

Recabamos únicamente los datos estrictamente necesarios para la finalidad declarada. Ejemplos:

• Identificación y contacto: nombre, teléfono, correo.
• Datos de relación comercial: historial de atención, preferencias, solicitudes.
• Metadatos de comunicación: fecha/hora de mensajes, estado de entrega.

6. Seguridad de la información

• Dispositivos seguros: Acceso mediante dispositivos gestionados, con bloqueo, cifrado y antivirus actualizados.
• Autenticación: Habilitar verificación en dos pasos en cuentas de WhatsApp Business y acceso restringido por rol.
• Respaldo y retención: Copias de seguridad cifradas. El periodo de conservación se limita a lo necesario según la finalidad y obligaciones legales.
• Registros y monitoreo: Los accesos y operaciones relevantes se registran para auditoría, prevención y detección de incidentes.
• Medios alternos: Para documentos o datos sensibles, usar plataformas seguras (portales con MFA) en lugar de adjuntos por chat.

7. Buenas prácticas de mensajería

• No compartir contraseñas o tokens por chat.
• Verificar identidad antes de compartir información de cuenta.
• Evitar grupos para tratar datos personales; preferir canales directos y registrados.
• Usar mensajes efímeros solo cuando exista una política de retención definida.
• Prevenir phishing e ingeniería social: no abrir enlaces no verificados ni descargar archivos sospechosos.

8. Derechos de los titulares

Los titulares pueden ejercer sus derechos de acceso, rectificación, cancelación u oposición (ARCO), así como la portabilidad y limitación del tratamiento cuando aplique.

Solicitudes: isaacsauri@digitaldevops.com.mx

9. Transferencias y encargados

Podemos compartir datos con proveedores que actúen como encargados (por ejemplo, Meta/WhatsApp y proveedores de integración/API), bajo contratos con cláusulas de confidencialidad, seguridad y cumplimiento. No se realizarán transferencias sin base legal, garantías adecuadas o consentimiento, según corresponda.

10. Gestión de incidentes

• Notificación interna inmediata al responsable de seguridad ante sospecha de incidente.
• Contención, análisis y remediación documentada.
• Notificación a autoridades y titulares cuando sea requerido por la ley.

11. Roles y responsabilidades

• Dirección: Aprobar y dotar de recursos.
• Responsable de Seguridad/Privacidad: Mantener esta política, capacitar, auditar y gestionar incidentes.
• Personal y Proveedores: Cumplir la política y reportar desviaciones.

12. Capacitación y concientización

Todo el personal que use WhatsApp para fines corporativos deberá completar capacitación anual sobre seguridad y protección de datos.

13. Conservación y supresión

Los datos se conservarán por el tiempo necesario para cumplir la finalidad y obligaciones legales aplicables. Se aplicarán procesos de anonimización o supresión segura cuando ya no sean necesarios.

14. Cambios a esta política

Podemos actualizar esta política para reflejar cambios normativos, tecnológicos u operativos. La versión vigente se publicará en este sitio con su fecha de actualización.