Blog / Guía
WhatsApp marketing y RGPD: la guía práctica para estar en regla
En breve
Hacer WhatsApp marketing en regla con el RGPD significa tener una base jurídica para escribir —casi siempre el consentimiento explícito—, una información que explique quién trata los datos y por qué, y procedimientos para la revocación y la conservación. El responsable del tratamiento eres tú, también con una plataforma externa: elegir una herramienta con acuerdo sobre los datos y gestión automática de los consentimientos reduce el riesgo.
El número de teléfono de una persona es un dato personal, y enviarle un mensaje promocional es un tratamiento a todos los efectos. Por eso el WhatsApp marketing vive dentro del RGPD exactamente igual que el email marketing, solo que el canal es más íntimo, así que el margen de error es más estrecho. La buena noticia es que ponerse en regla no requiere un departamento legal: hacen falta una base jurídica clara, un poco de orden en los documentos y procedimientos automáticos para el consentimiento y la revocación. Esta guía traduce las obligaciones en pasos concretos.
Qué significa el RGPD aplicado a WhatsApp
El RGPD es el reglamento europeo sobre la protección de los datos personales, y se aplica a cualquiera que trate datos de personas que se encuentran en la Unión, independientemente de dónde tenga su sede la empresa. Cuando recoges números de teléfono para enviar mensajes, estás tratando datos y debes respetar sus principios: licitud (tener un motivo válido para hacerlo), transparencia (decirlo claramente), minimización (recoger solo lo que hace falta), limitación de la conservación (no guardar los datos para siempre). En WhatsApp estos principios no cambian; cambia solo el hecho de que el mensaje llega a una app personal, donde el usuario es menos tolerante y está más dispuesto a denunciar. El cumplimiento, además de evitar sanciones que pueden ser cuantiosas, también te protege la calidad del número.
La base jurídica: por lo general el consentimiento
Para enviar comunicaciones de marketing por WhatsApp la base jurídica más sólida es el consentimiento explícito: libre, específico, informado e inequívoco. Libre significa no condicionado a un servicio (no puedes imponerlo para completar una compra); específico significa referido precisamente a WhatsApp y al marketing, no un consentimiento genérico; informado significa que la persona sabe quién tratará los datos y por qué; inequívoco significa una acción positiva, nunca una casilla ya marcada. Existe también el interés legítimo, pero para la publicidad directa en un canal tan personal es una base frágil e impugnable: para los mensajes promocionales, apuesta por el consentimiento.
Distingue siempre el mensaje de servicio del promocional. Confirmar un envío o recordar una cita que la persona ha reservado se apoya en la ejecución del contrato; enviarle una oferta requiere el consentimiento al marketing. Mantener separados los dos permisos es lo que te permite defender cada envío individual.
La información de privacidad: qué debe decir
Antes o en el momento en que recoges el número, la persona debe poder leer una información que responda a preguntas precisas: quién es el responsable del tratamiento, para qué finalidades usarás los datos, sobre qué base jurídica, durante cuánto tiempo los conservarás, a quién podrían comunicarse (incluida la plataforma de envío y Meta como proveedor del servicio WhatsApp), qué derechos tiene la persona y cómo ejercerlos. No hace falta un texto monumental: hace falta un texto claro, accesible con un enlace junto al punto de recogida del consentimiento. El error típico es recoger el número sin ninguna remisión a la información: el consentimiento así no es informado, por tanto no es válido.
Revocación y derechos del interesado
El consentimiento se puede retirar con la misma facilidad con la que se dio: es un derecho, no una concesión. En la práctica, quien escribe STOP, o usa el botón de cancelación, debe quedar excluido enseguida de las comunicaciones promocionales. Pero la revocación del consentimiento es solo uno de los derechos: la persona puede pedir el acceso a sus datos, la rectificación, la supresión, la limitación del tratamiento y la oposición. Debes tener un procedimiento para responder a estas solicitudes en plazos razonables. La gestión automática del opt-out cubre la parte más frecuente; para las demás solicitudes hace falta saber dónde están los datos y cómo extraerlos o suprimirlos.
SendApp gestiona el opt-out de forma automática: quien escribe STOP queda excluido de las campañas siguientes sin intervenciones manuales, y cada contacto lleva consigo el origen y la fecha del consentimiento. Vale tanto si conectas tu número vía código QR como si usas las API oficiales de Meta, la doble vía, sin recargos sobre el coste de los mensajes.
Conservación de los datos: no para siempre
El RGPD impone no guardar los datos más allá de lo necesario. Define un periodo de conservación coherente con la finalidad: mientras la relación con el contacto está activa y el consentimiento es válido tiene sentido conservarlo; cuando la persona se da de baja o permanece inactiva mucho tiempo, valora la supresión o la anonimización. Conserva en cambio la prueba del consentimiento también después de la revocación, durante el tiempo útil para demostrar que has actuado correctamente: sirve precisamente en caso de impugnación, cuando la carga de probar la licitud recae sobre ti. La regla práctica es escribir una política interna —cuánto guardo de cada cosa, y por qué— y aplicarla con regularidad, en vez de acumular números hasta el infinito «por si acaso».
Quién es responsable: el responsable del tratamiento eres tú
Aunque uses una plataforma externa para enviar los mensajes, el responsable del tratamiento eres tú: eres tú quien decide las finalidades y los medios del tratamiento. La plataforma actúa como encargado del tratamiento, es decir, trata los datos por tu cuenta, y por eso debéis firmar un acuerdo dedicado (el llamado DPA, acuerdo de tratamiento de datos) que defina qué puede hacer con los datos y con qué garantías. Comprueba también dónde se conservan los datos y cómo gestiona la plataforma las transferencias. Elegir una herramienta seria en este frente no te exime de tus responsabilidades como responsable del tratamiento, pero reduce sensiblemente el riesgo.
| Función | Quién es | Qué decide / hace |
|---|---|---|
| Responsable del tratamiento | Tu empresa | Establece finalidades y medios, recoge el consentimiento, responde a los interesados |
| Encargado del tratamiento | La plataforma de envío | Trata los datos por cuenta del responsable según el acuerdo (DPA) |
| Interesado | El destinatario de los mensajes | Da o revoca el consentimiento, ejerce sus derechos |
Buenas prácticas para un WhatsApp marketing conforme
- Recoge un consentimiento explícito y específico para el marketing por WhatsApp, separado de cualquier otra casilla.
- Enlaza siempre la información de privacidad al punto en el que pides el número.
- Distingue mensajes de servicio y promocionales: se apoyan en bases jurídicas distintas.
- Haz que la revocación sea inmediata y gestiona el opt-out de forma automática.
- Define y aplica un periodo de conservación, conservando eso sí la prueba del consentimiento.
- Firma un acuerdo de tratamiento de datos con la plataforma y comprueba dónde se alojan los datos.
Ponlo en práctica con SendApp
Campañas, IA y bandeja multicanal sin recargos en el coste de los mensajes. Prueba gratis, sin tarjeta.
Redazione SendApp
El equipo de SendApp — plataforma de WhatsApp marketing e IA para empresas.