Phone-alt Envelope Facebook Linkedin Youtube Instagram
Solicitar presupuesto

WhatsApp Business y Protección de Datos: Guía RGPD para Empresas

Tabla de contenidos

En 2026, más de 30 millones de personas en España utilizan WhatsApp a diario. Y no hablamos solo de mensajes entre amigos: miles de empresas, autónomos y comercios han convertido esta aplicación en su principal canal de comunicación con clientes, proveedores e incluso empleados.

La pregunta ya no es si tu empresa usa WhatsApp, sino si lo está usando de forma legal. Porque sí, cada mensaje que envías, cada grupo que creas y cada catálogo de productos que compartes implica un tratamiento de datos personales sometido al RGPD y a la LOPDGDD.

En ENFOKE, hemos visto cómo muchas empresas dan por hecho que WhatsApp es «terreno libre» porque es una herramienta cotidiana. Error. La AEPD ya ha sancionado a empresas por prácticas tan comunes como añadir a clientes a un grupo sin su permiso. Vamos a desgranarlo todo para que no te pille desprevenido.

1. WhatsApp Messenger vs. WhatsApp Business: La primera decisión legal

Antes de entrar en materia, hay que dejar claro un punto esencial: si tu empresa va a utilizar WhatsApp como herramienta de comunicación profesional, debe usar obligatoriamente WhatsApp Business, no la versión personal (Messenger).

¿Por qué? La versión personal está diseñada para comunicaciones entre particulares. Su uso comercial no solo vulnera los términos de servicio de Meta, sino que además carece de las funcionalidades necesarias para cumplir con el RGPD, como los mensajes automatizados o la integración con APIs de consentimiento.

WhatsApp Business, en cambio, ofrece:

  • Mensajes de bienvenida automáticos, donde puedes incluir la primera capa informativa sobre protección de datos.
  • Etiquetas y segmentación de contactos para gestionar finalidades distintas (atención al cliente, marketing, soporte posventa).
  • Catálogos de productos y respuestas rápidas que reducen la necesidad de compartir datos sensibles por chat.
  • API de WhatsApp Business que permite integrarse con CRMs y obtener consentimientos de forma automatizada.

En resumen: si sigues usando tu número personal para hablar con clientes, el primer paso es migrar a WhatsApp Business. Y si ya lo tienes, prepárate, porque eso es solo el principio.

2. ¿Qué datos personales trata WhatsApp y quién es el responsable?

Cuando un cliente te escribe por WhatsApp, estás accediendo como mínimo a su número de teléfono móvil, su nombre de usuario, su foto de perfil y, potencialmente, su ubicación si la comparte. Todo esto son datos personales protegidos por el RGPD.

¿Quién es el responsable del tratamiento?

Aquí es donde muchas empresas se confunden. Meta (propietaria de WhatsApp) no es la responsable de los datos que tú tratas a través de la aplicación. Es tu empresa la que decide la finalidad y los medios de ese tratamiento, y por tanto, la que asume la responsabilidad frente a la AEPD.

Meta actúa como encargada del tratamiento en ciertos aspectos, ya que sus servidores procesan los mensajes. Esto implica que debes conocer la política de privacidad de WhatsApp y asegurarte de que cumple con los estándares del RGPD, especialmente en lo relativo a transferencias internacionales de datos a servidores fuera de la UE.

¿Qué pasa con las transferencias internacionales?

WhatsApp almacena datos en servidores ubicados en Estados Unidos. Aunque Meta se ampara en el marco de protección de datos UE-EE.UU. (EU-U.S. Data Privacy Framework), es responsabilidad de tu empresa verificar que esta garantía sigue vigente y documentarlo en tu Registro de Actividades de Tratamiento (RAT).

3. Bases legales para comunicarte con clientes por WhatsApp

No puedes coger el móvil y empezar a escribir a cualquier contacto. El RGPD exige que todo tratamiento de datos se base en una base jurídica legítima (Art. 6 RGPD). Las más habituales en el uso empresarial de WhatsApp son:

A. Consentimiento explícito (Art. 6.1.a RGPD)

Es la base más segura y, en muchos casos, obligatoria. Si vas a enviar comunicaciones comerciales (ofertas, promociones, newsletters) por WhatsApp, necesitas el consentimiento previo, expreso e inequívoco del destinatario.

¿Cómo obtenerlo correctamente?

  • A través de un formulario web con una casilla específica y no premarcada: «Acepto recibir comunicaciones comerciales por WhatsApp».
  • Mediante un documento firmado en el punto de venta o establecimiento.
  • Utilizando la API de WhatsApp Business que permite solicitar el opt-in antes de iniciar la conversación.

Importante: El consentimiento para recibir publicidad debe estar separado del consentimiento para el tratamiento general de datos. No vale el «todo en uno».

B. Ejecución de un contrato (Art. 6.1.b RGPD)

Si el cliente ya tiene una relación contractual contigo y WhatsApp se utiliza para gestionar esa relación (confirmar citas, informar sobre el estado de un pedido, coordinar un servicio), la base legal puede ser la ejecución del contrato. Pero cuidado: esta base no te habilita para enviar publicidad.

C. Interés legítimo (Art. 6.1.f RGPD)

En entornos B2B, la LOPDGDD permite contactar a profesionales que trabajan en empresas cuando el mensaje sea estrictamente profesional y relevante para su actividad. Sin embargo, el interés legítimo exige una ponderación documentada y nunca es una carta blanca para el envío masivo de mensajes.

4. Obligaciones legales al usar WhatsApp Business

Si vas a integrar WhatsApp como canal de comunicación en tu empresa, estas son las obligaciones que no puedes saltarte:

Deber de información (Art. 13 RGPD)

En la primera comunicación con un contacto nuevo, debes proporcionar la información básica sobre el tratamiento de sus datos. WhatsApp Business permite configurar un mensaje de bienvenida automático que es perfecto para incluir esta primera capa informativa:

  • Identidad del responsable del tratamiento (tu empresa).
  • Finalidad del tratamiento (atención al cliente, gestión comercial, etc.).
  • Base legitimadora (consentimiento, ejecución de contrato, etc.).
  • Derechos del interesado (acceso, rectificación, supresión, etc.).
  • Enlace a la Política de Privacidad completa de tu web.

Registro de Actividades de Tratamiento (RAT)

El uso de WhatsApp Business como canal de comunicación debe estar reflejado en tu RAT. Debes documentar qué datos se recogen a través de la aplicación, con qué finalidad, quién tiene acceso y durante cuánto tiempo se conservan.

Contrato de Encargado de Tratamiento

Dado que Meta/WhatsApp actúa como encargado del tratamiento, es necesario que exista un acuerdo que regule esta relación. WhatsApp ofrece sus propios términos para empresas que actúan como este contrato, pero es tu responsabilidad verificar que son conformes al Art. 28 del RGPD.

Evaluación de riesgos

Antes de implementar WhatsApp como canal de comunicación, debes realizar una evaluación de riesgos para la protección de datos. La AEPD pone a disposición una herramienta gratuita llamada Evaluación de Impacto que puede ayudarte en este proceso, especialmente si manejas datos sensibles o un gran volumen de contactos.

5. Errores comunes que la AEPD ya está sancionando

No son hipótesis. Son casos reales que la Agencia Española de Protección de Datos ha investigado y, en muchos casos, sancionado. Repasamos los más frecuentes para que no cometas los mismos errores:

Añadir personas a grupos sin consentimiento

Es el clásico. Una empresa crea un grupo de WhatsApp con sus clientes para «mantenerles informados». Resultado: todos los miembros ven los números de teléfono y fotos de perfil del resto. Esto constituye una cesión no consentida de datos personales a terceros. La AEPD ha impuesto multas de hasta 3.000 euros por esta práctica, y la cuantía puede ser mucho mayor si el grupo tiene un elevado número de miembros.

Solución: Usa siempre listas de difusión en lugar de grupos cuando quieras enviar mensajes a varios clientes. Las listas de difusión envían el mensaje de forma individual a cada destinatario, sin que estos vean al resto.

Enviar publicidad sin consentimiento

Que un cliente te haya escrito una vez para preguntar un precio no te autoriza a meterle en tu lista de envío de ofertas semanales. La LSSI-CE (Ley de Servicios de la Sociedad de la Información) exige consentimiento previo para el envío de comunicaciones comerciales electrónicas, y WhatsApp no es una excepción.

Compartir datos sensibles por chat

Enviar un informe médico, una nómina, un DNI escaneado o datos bancarios a través de WhatsApp es extremadamente arriesgado. Aunque la aplicación utiliza cifrado de extremo a extremo, la información queda almacenada en los dispositivos y en las copias de seguridad (que pueden no estar cifradas), lo que escapa del control de la empresa.

No informar a los empleados

Si tu empresa usa WhatsApp para la comunicación interna, los empleados deben ser informados del tratamiento de sus datos, la finalidad del grupo o canal, y sus derechos. Crear un grupo de trabajo sin aviso previo puede derivar en una reclamación ante la AEPD.

6. Buenas prácticas: Cómo usar WhatsApp Business y dormir tranquilo

Ahora que conoces los riesgos, vamos con la parte constructiva. Estas son las medidas técnicas y organizativas que recomendamos desde ENFOKE para usar WhatsApp Business con plenas garantías legales:

  • Configura el mensaje de bienvenida con la información básica del Art. 13 RGPD. Es tu primera capa informativa y, además, queda registrado.
  • Obtén siempre el consentimiento antes de enviar el primer mensaje comercial. Documéntalo y guárdalo como prueba.
  • Usa listas de difusión, nunca grupos para comunicaciones comerciales masivas.
  • Limita la información que compartes por chat. No envíes documentos con datos sensibles; utiliza plataformas seguras y envía solo el enlace.
  • Forma a tus empleados sobre el uso correcto de la herramienta: qué pueden y qué no pueden hacer con los datos de los clientes.
  • Designa un dispositivo de empresa para la cuenta de WhatsApp Business. Evita mezclar el uso personal y profesional en el mismo terminal.
  • Establece políticas de conservación: no acumules conversaciones indefinidamente. Define plazos y elimina los datos cuando ya no sean necesarios.
  • Revisa y actualiza regularmente tu Registro de Actividades de Tratamiento y tu Política de Privacidad para incluir WhatsApp como canal.

7. WhatsApp, la LSSI-CE y el marketing digital

Un aspecto que muchas empresas pasan por alto es que el envío de mensajes comerciales por WhatsApp está sujeto no solo al RGPD, sino también a la Ley 34/2002 de Servicios de la Sociedad de la Información (LSSI-CE).

El artículo 21 de esta ley establece que las comunicaciones comerciales por medios electrónicos requieren consentimiento previo, salvo que exista una relación contractual previa y los productos o servicios ofrecidos sean similares a los ya contratados. Es la excepción del llamado «soft opt-in», pero hay que aplicarla con mucha cautela.

En 2026, más de 30 millones de personas en España utilizan WhatsApp a diario. Y no hablamos solo de mensajes entre amigos: miles de empresas, autónomos y comercios han convertido esta aplicación en su principal canal de comunicación con clientes, proveedores e incluso empleados.

La pregunta ya no es si tu empresa usa WhatsApp, sino si lo está usando de forma legal. Porque sí, cada mensaje que envías, cada grupo que creas y cada catálogo de productos que compartes implica un tratamiento de datos personales sometido al RGPD y a la LOPDGDD.

En ENFOKE, hemos visto cómo muchas empresas dan por hecho que WhatsApp es «terreno libre» porque es una herramienta cotidiana. Error. La AEPD ya ha sancionado a empresas por prácticas tan comunes como añadir a clientes a un grupo sin su permiso. Vamos a desgranarlo todo para que no te pille desprevenido.

1. WhatsApp Messenger vs. WhatsApp Business: La primera decisión legal

Antes de entrar en materia, hay que dejar claro un punto esencial: si tu empresa va a utilizar WhatsApp como herramienta de comunicación profesional, debe usar obligatoriamente WhatsApp Business, no la versión personal (Messenger).

¿Por qué? La versión personal está diseñada para comunicaciones entre particulares. Su uso comercial no solo vulnera los términos de servicio de Meta, sino que además carece de las funcionalidades necesarias para cumplir con el RGPD, como los mensajes automatizados o la integración con APIs de consentimiento.

WhatsApp Business, en cambio, ofrece:

  • Mensajes de bienvenida automáticos, donde puedes incluir la primera capa informativa sobre protección de datos.
  • Etiquetas y segmentación de contactos para gestionar finalidades distintas (atención al cliente, marketing, soporte posventa).
  • Catálogos de productos y respuestas rápidas que reducen la necesidad de compartir datos sensibles por chat.
  • API de WhatsApp Business que permite integrarse con CRMs y obtener consentimientos de forma automatizada.

En resumen: si sigues usando tu número personal para hablar con clientes, el primer paso es migrar a WhatsApp Business. Y si ya lo tienes, prepárate, porque eso es solo el principio.

2. ¿Qué datos personales trata WhatsApp y quién es el responsable?

Cuando un cliente te escribe por WhatsApp, estás accediendo como mínimo a su número de teléfono móvil, su nombre de usuario, su foto de perfil y, potencialmente, su ubicación si la comparte. Todo esto son datos personales protegidos por el RGPD.

¿Quién es el responsable del tratamiento?

Aquí es donde muchas empresas se confunden. Meta (propietaria de WhatsApp) no es la responsable de los datos que tú tratas a través de la aplicación. Es tu empresa la que decide la finalidad y los medios de ese tratamiento, y por tanto, la que asume la responsabilidad frente a la AEPD.

Meta actúa como encargada del tratamiento en ciertos aspectos, ya que sus servidores procesan los mensajes. Esto implica que debes conocer la política de privacidad de WhatsApp y asegurarte de que cumple con los estándares del RGPD, especialmente en lo relativo a transferencias internacionales de datos a servidores fuera de la UE.

¿Qué pasa con las transferencias internacionales?

WhatsApp almacena datos en servidores ubicados en Estados Unidos. Aunque Meta se ampara en el marco de protección de datos UE-EE.UU. (EU-U.S. Data Privacy Framework), es responsabilidad de tu empresa verificar que esta garantía sigue vigente y documentarlo en tu Registro de Actividades de Tratamiento (RAT).

3. Bases legales para comunicarte con clientes por WhatsApp

No puedes coger el móvil y empezar a escribir a cualquier contacto. El RGPD exige que todo tratamiento de datos se base en una base jurídica legítima (Art. 6 RGPD). Las más habituales en el uso empresarial de WhatsApp son:

A. Consentimiento explícito (Art. 6.1.a RGPD)

Es la base más segura y, en muchos casos, obligatoria. Si vas a enviar comunicaciones comerciales (ofertas, promociones, newsletters) por WhatsApp, necesitas el consentimiento previo, expreso e inequívoco del destinatario.

¿Cómo obtenerlo correctamente?

  • A través de un formulario web con una casilla específica y no premarcada: «Acepto recibir comunicaciones comerciales por WhatsApp».
  • Mediante un documento firmado en el punto de venta o establecimiento.
  • Utilizando la API de WhatsApp Business que permite solicitar el opt-in antes de iniciar la conversación.

Importante: El consentimiento para recibir publicidad debe estar separado del consentimiento para el tratamiento general de datos. No vale el «todo en uno».

B. Ejecución de un contrato (Art. 6.1.b RGPD)

Si el cliente ya tiene una relación contractual contigo y WhatsApp se utiliza para gestionar esa relación (confirmar citas, informar sobre el estado de un pedido, coordinar un servicio), la base legal puede ser la ejecución del contrato. Pero cuidado: esta base no te habilita para enviar publicidad.

C. Interés legítimo (Art. 6.1.f RGPD)

En entornos B2B, la LOPDGDD permite contactar a profesionales que trabajan en empresas cuando el mensaje sea estrictamente profesional y relevante para su actividad. Sin embargo, el interés legítimo exige una ponderación documentada y nunca es una carta blanca para el envío masivo de mensajes.

4. Obligaciones legales al usar WhatsApp Business

Si vas a integrar WhatsApp como canal de comunicación en tu empresa, estas son las obligaciones que no puedes saltarte:

Deber de información (Art. 13 RGPD)

En la primera comunicación con un contacto nuevo, debes proporcionar la información básica sobre el tratamiento de sus datos. WhatsApp Business permite configurar un mensaje de bienvenida automático que es perfecto para incluir esta primera capa informativa:

  • Identidad del responsable del tratamiento (tu empresa).
  • Finalidad del tratamiento (atención al cliente, gestión comercial, etc.).
  • Base legitimadora (consentimiento, ejecución de contrato, etc.).
  • Derechos del interesado (acceso, rectificación, supresión, etc.).
  • Enlace a la Política de Privacidad completa de tu web.

Registro de Actividades de Tratamiento (RAT)

El uso de WhatsApp Business como canal de comunicación debe estar reflejado en tu RAT. Debes documentar qué datos se recogen a través de la aplicación, con qué finalidad, quién tiene acceso y durante cuánto tiempo se conservan.

Contrato de Encargado de Tratamiento

Dado que Meta/WhatsApp actúa como encargado del tratamiento, es necesario que exista un acuerdo que regule esta relación. WhatsApp ofrece sus propios términos para empresas que actúan como este contrato, pero es tu responsabilidad verificar que son conformes al Art. 28 del RGPD.

Evaluación de riesgos

Antes de implementar WhatsApp como canal de comunicación, debes realizar una evaluación de riesgos para la protección de datos. La AEPD pone a disposición una herramienta gratuita llamada Evaluación de Impacto que puede ayudarte en este proceso, especialmente si manejas datos sensibles o un gran volumen de contactos.

5. Errores comunes que la AEPD ya está sancionando

No son hipótesis. Son casos reales que la Agencia Española de Protección de Datos ha investigado y, en muchos casos, sancionado. Repasamos los más frecuentes para que no cometas los mismos errores:

Añadir personas a grupos sin consentimiento

Es el clásico. Una empresa crea un grupo de WhatsApp con sus clientes para «mantenerles informados». Resultado: todos los miembros ven los números de teléfono y fotos de perfil del resto. Esto constituye una cesión no consentida de datos personales a terceros. La AEPD ha impuesto multas de hasta 3.000 euros por esta práctica, y la cuantía puede ser mucho mayor si el grupo tiene un elevado número de miembros.

Solución: Usa siempre listas de difusión en lugar de grupos cuando quieras enviar mensajes a varios clientes. Las listas de difusión envían el mensaje de forma individual a cada destinatario, sin que estos vean al resto.

Enviar publicidad sin consentimiento

Que un cliente te haya escrito una vez para preguntar un precio no te autoriza a meterle en tu lista de envío de ofertas semanales. La LSSI-CE (Ley de Servicios de la Sociedad de la Información) exige consentimiento previo para el envío de comunicaciones comerciales electrónicas, y WhatsApp no es una excepción.

Compartir datos sensibles por chat

Enviar un informe médico, una nómina, un DNI escaneado o datos bancarios a través de WhatsApp es extremadamente arriesgado. Aunque la aplicación utiliza cifrado de extremo a extremo, la información queda almacenada en los dispositivos y en las copias de seguridad (que pueden no estar cifradas), lo que escapa del control de la empresa.

No informar a los empleados

Si tu empresa usa WhatsApp para la comunicación interna, los empleados deben ser informados del tratamiento de sus datos, la finalidad del grupo o canal, y sus derechos. Crear un grupo de trabajo sin aviso previo puede derivar en una reclamación ante la AEPD.

6. Buenas prácticas: Cómo usar WhatsApp Business y dormir tranquilo

Ahora que conoces los riesgos, vamos con la parte constructiva. Estas son las medidas técnicas y organizativas que recomendamos desde ENFOKE para usar WhatsApp Business con plenas garantías legales:

  • Configura el mensaje de bienvenida con la información básica del Art. 13 RGPD. Es tu primera capa informativa y, además, queda registrado.
  • Obtén siempre el consentimiento antes de enviar el primer mensaje comercial. Documéntalo y guárdalo como prueba.
  • Usa listas de difusión, nunca grupos para comunicaciones comerciales masivas.
  • Limita la información que compartes por chat. No envíes documentos con datos sensibles; utiliza plataformas seguras y envía solo el enlace.
  • Forma a tus empleados sobre el uso correcto de la herramienta: qué pueden y qué no pueden hacer con los datos de los clientes.
  • Designa un dispositivo de empresa para la cuenta de WhatsApp Business. Evita mezclar el uso personal y profesional en el mismo terminal.
  • Establece políticas de conservación: no acumules conversaciones indefinidamente. Define plazos y elimina los datos cuando ya no sean necesarios.
  • Revisa y actualiza regularmente tu Registro de Actividades de Tratamiento y tu Política de Privacidad para incluir WhatsApp como canal.

7. WhatsApp, la LSSI-CE y el marketing digital

Un aspecto que muchas empresas pasan por alto es que el envío de mensajes comerciales por WhatsApp está sujeto no solo al RGPD, sino también a la Ley 34/2002 de Servicios de la Sociedad de la Información (LSSI-CE).

El artículo 21 de esta ley establece que las comunicaciones comerciales por medios electrónicos requieren consentimiento previo, salvo que exista una relación contractual previa y los productos o servicios ofrecidos sean similares a los ya contratados. Es la excepción del llamado «soft opt-in», pero hay que aplicarla con mucha cautela.

Además, todo mensaje comercial debe:

  • Identificarse claramente como publicidad.
  • Indicar quién es el anunciante.
  • Ofrecer un mecanismo sencillo para darse de baja (por ejemplo, responder «BAJA»).

Conclusión

WhatsApp Business es una herramienta poderosa para las empresas, pero su uso sin las debidas garantías legales puede convertir una ventaja competitiva en un problema con la AEPD. Las sanciones son reales, las reclamaciones de usuarios van en aumento y el desconocimiento de la norma no exime de su cumplimiento.

La clave está en tratar WhatsApp como lo que es: un canal de tratamiento de datos personales, sujeto a las mismas reglas que tu email, tu CRM o tu base de datos de clientes.

En ENFOKE LOPD, ayudamos a empresas y autónomos a integrar WhatsApp Business en su estrategia de comunicación cumpliendo con el RGPD y la LOPDGDD al 100%. Si tienes dudas o necesitas una adaptación a la normativa, no lo dejes para mañana.

¿Necesitas asesoramiento sobre el uso de WhatsApp en tu empresa?

Contacta con nosotros para una consultoría personalizada:

📞 662 247 648
📧 [email protected]

Imagen de Enfoke
Enfoke
Comparte:
Solicitar presupuesto

Te ofrecemos un presupuesto a medida

Servicio a presupuestar: