WhatsApp en tu empresa y la ley: qué debes cumplir antes de empezar a automatizar

WhatsApp es el canal de comunicación favorito de los españoles — y eso incluye su relación con negocios. Pero usar WhatsApp para atender a clientes, guardar datos o enviar mensajes automáticos no está exento de obligaciones legales. Muchas empresas lo hacen sin saber exactamente qué deben cumplir.

Esta guía no es asesoramiento jurídico — para eso necesitas un profesional — pero sí es una visión clara y práctica de los puntos clave que cualquier empresa debe revisar antes de automatizar su WhatsApp.

---

Por qué WhatsApp no es un canal "neutral" desde el punto de vista legal

Cuando un cliente te escribe por WhatsApp, estás procesando datos personales: como mínimo, su número de teléfono y el contenido de la conversación. Si además tienes un chatbot que guarda esas conversaciones, las analiza o las vincula con otros datos del cliente en tu CRM, el tratamiento es más amplio.

El Reglamento General de Protección de Datos (RGPD) europeo y la Ley Orgánica de Protección de Datos (LOPDGDD) española aplican a todo esto. No importa el tamaño de tu empresa: una clínica de un solo médico, una tienda online y una gestoría de cinco personas tienen las mismas obligaciones básicas.

---

Los seis puntos que debes tener en orden

1 — Política de privacidad accesible y actualizada

Tu empresa necesita una política de privacidad que informe a los usuarios de:

• Qué datos recoge (número de teléfono, contenido de la conversación, datos que el cliente facilita voluntariamente)
• Para qué los usa (atención al cliente, gestión de citas, envío de comunicaciones)
• Cuánto tiempo los conserva
• Con quién los comparte (si usas un chatbot externo, la empresa que lo gestiona es un tercero que accede a esos datos)
• Cómo el usuario puede ejercer sus derechos (acceso, rectificación, supresión)

Esta política debe ser fácil de encontrar — en tu web, al menos. Para el canal de WhatsApp, lo habitual es incluir un enlace o resumen al inicio de la conversación, especialmente en el primer contacto.

2 — Base legal para procesar los datos

El RGPD exige que tengas una razón legítima para procesar datos personales. Para la atención al cliente por WhatsApp, la base más habitual es la ejecución de un contrato (el cliente quiere algo de ti y usas sus datos para dárselo) o el interés legítimo (mantener la relación comercial). Para comunicaciones de marketing, la base es el consentimiento explícito.

Si no tienes claro qué base legal usas para cada tipo de tratamiento, es el momento de definirlo.

3 — Consentimiento para mensajes de marketing

Este es el punto donde más empresas tienen problemas. Si quieres enviar a tus clientes mensajes de marketing por WhatsApp — ofertas, novedades, reactivación — necesitas que hayan dado su consentimiento explícito para recibirlos.

Ese consentimiento debe ser:

• Libre: el cliente no puede haber marcado la casilla porque era obligatoria para comprar algo.
• Específico: el cliente acepta recibir comunicaciones comerciales de tu empresa por WhatsApp (no vale un consentimiento genérico de "acepto los términos").
• Informado: el cliente sabe para qué está dando su consentimiento.
• Verificable: debes poder demostrar que tienes ese consentimiento, con fecha y canal.

El consentimiento que pide WhatsApp (el "opt-in" para recibir mensajes del negocio) y el consentimiento de privacidad que exige el RGPD son cosas distintas pero complementarias. Necesitas ambos.

Lo que no vale como consentimiento:

• Que el cliente te haya escrito alguna vez por WhatsApp.
• Que el cliente sea cliente tuyo desde hace años.
• Que hayas incluido en los términos de compra una cláusula de cesión a comunicaciones de marketing.

4 — Contrato con el proveedor del chatbot

Si usas una plataforma externa para gestionar el chatbot (como Nexus), esa empresa tiene acceso a los datos de tus clientes para poder prestar el servicio. En términos del RGPD, es un encargado del tratamiento y debes tener firmado un contrato que defina:

• Qué datos trata y para qué
• Las medidas de seguridad que aplica
• Que no usará esos datos para otros fines
• Qué pasa con los datos cuando termina la relación

Las plataformas profesionales como Nexus tienen este contrato disponible (se llama DPA, Data Processing Agreement). Pídelo y fírmalo antes de empezar a usar el servicio con datos reales de clientes.

5 — Registro de actividades de tratamiento

Las empresas con más de 250 empleados tienen obligación explícita de mantener un registro de todas las actividades de tratamiento de datos. Las empresas más pequeñas tienen la misma obligación si tratan datos a gran escala o datos de categorías especiales (salud, por ejemplo).

En la práctica, cualquier empresa que use un chatbot de WhatsApp debería incluir esa actividad en su registro: qué datos recoge el chatbot, para qué, quién tiene acceso, cuánto tiempo se conservan.

6 — Retención y borrado de datos

¿Cuánto tiempo guardas las conversaciones de WhatsApp con clientes? Si no tienes una respuesta clara, es un problema. El RGPD exige que los datos se conserven solo el tiempo necesario para la finalidad para la que se recogieron.

Para conversaciones de atención al cliente, lo habitual es:

• Conservarlas mientras dure la relación comercial con el cliente.
• Un periodo razonable después del cierre de la relación (1-3 años, según el sector y las obligaciones legales de cada actividad).
• Eliminarlas cuando el cliente ejerce su derecho al olvido y no hay otra obligación legal que justifique conservarlas.

Configura la plataforma del chatbot para que aplique esas retenciones automáticamente, en lugar de acumular datos indefinidamente.

---

Lo que Meta exige además de la ley

Además de la normativa de protección de datos, Meta impone sus propias condiciones para usar WhatsApp Business Platform:

Opt-in documentado para mensajes salientes. Antes de enviar cualquier mensaje que inicie una conversación (recordatorios, avisos, marketing), el destinatario debe haber dado su consentimiento explícito. Meta puede suspender el número si detecta altas tasas de bloqueo o reporte por parte de los usuarios, lo que ocurre cuando se envían mensajes no solicitados.

Identificación clara del negocio. El perfil de WhatsApp Business debe identificar correctamente al negocio: nombre real, categoría, descripción. No puedes usar un nombre genérico o engañoso.

Prohibición de ciertos tipos de contenido. Meta prohíbe usar WhatsApp Business Platform para contenidos relacionados con armas, sustancias ilegales, contenido adulto, juego de apuestas sin licencia y otros. Revisa las políticas de uso si tu negocio está en un sector regulado.

---

Sectores con obligaciones adicionales

Algunos sectores tienen regulación específica que añade capas adicionales:

Sanitario (clínicas, consultas, farmacias): Los datos de salud son datos de categoría especial en el RGPD — requieren medidas de seguridad reforzadas y, en muchos casos, la designación de un Delegado de Protección de Datos (DPD). El chatbot no puede gestionar diagnósticos ni historial clínico.

Financiero (aseguradoras, asesorías financieras, inmobiliarias con financiación): Aplica normativa sectorial específica sobre comunicaciones con clientes y conservación de registros.

Educación (academias, centros de formación con menores): Si atiendes a menores de 14 años, el consentimiento debe ser de los padres o tutores, no del menor.

---

Checklist de cumplimiento antes de activar el chatbot

Antes de poner el chatbot en producción con clientes reales:

• Política de privacidad actualizada que menciona el canal WhatsApp y el uso de chatbot.
• Base legal definida para cada tipo de tratamiento (atención al cliente, marketing, etc.).
• Formulario o mecanismo de consentimiento para mensajes de marketing (opt-in documentado).
• Contrato DPA firmado con el proveedor del chatbot.
• Registro de actividades de tratamiento actualizado.
• Política de retención de datos definida y configurada en la plataforma.
• Mensaje de bienvenida en el chatbot que informa al usuario de la política de privacidad.
• Proceso definido para gestionar solicitudes de derechos (acceso, rectificación, supresión).

---

Preguntas frecuentes

¿Puede mi empresa usar la app gratuita de WhatsApp Business para atender clientes sin cumplir todo esto?

El RGPD aplica independientemente de la herramienta. Si usas WhatsApp (cualquier versión) para comunicarte con clientes y guardas datos de esas conversaciones, tienes obligaciones. La diferencia es que con la app gratuita es más difícil cumplir algunas de ellas (no tienes contrato con Meta como proveedor de tratamiento de datos, por ejemplo).

¿Meta firma contrato de protección de datos con las empresas?

Sí, pero solo con los usuarios de WhatsApp Business Platform (la versión de pago/API). Con los usuarios de la app gratuita, Meta actúa como responsable conjunto del tratamiento bajo sus propias condiciones generales, lo que no equivale a un DPA en el sentido del RGPD. Este es uno de los argumentos legales para migrar a la plataforma profesional si vas a tratar datos de clientes a escala.

¿Qué pasa si no cumplo y alguien me denuncia?

La Agencia Española de Protección de Datos (AEPD) puede abrir un procedimiento sancionador. Las multas van desde apercibimientos (sin sanción económica) hasta porcentajes del volumen de negocio global (hasta el 4% en casos graves). Para pymes, las sanciones más habituales en primera infracción sin daño real al afectado suelen ser moderadas — pero el proceso en sí ya consume tiempo y genera incertidumbre.

¿Necesito contratar un DPD (Delegado de Protección de Datos)?

Las pymes no tienen obligación general de tener un DPD, salvo excepciones (sectores sanitario, educativo, o tratamiento de datos a gran escala). Pero sí es recomendable contar con asesoramiento de un profesional en privacidad al menos para la configuración inicial y la revisión anual de los documentos.

---

Conclusión

La ley no es un obstáculo para usar WhatsApp en tu empresa — es un marco que, si lo tienes en orden, te protege a ti también. Las empresas que trabajan con rigor en privacidad generan más confianza con sus clientes, tienen menos exposición a sanciones y operan con mayor seguridad jurídica.

El checklist de esta guía es un buen punto de partida. Si tienes dudas sobre algún punto específico de tu negocio, el consejo es siempre consultar con un especialista en privacidad que conozca tu sector.

¿Quieres saber cómo Nexus gestiona la privacidad de los datos de tus clientes? Consulta nuestra documentación de privacidad o solicita el contrato DPA antes de empezar.