El ABC del cumplimiento normativo para empresas en WhatsApp.
WhatsApp se ha convertido en uno de los canales preferidos de las empresas para comunicarse con sus clientes. Sin embargo, no es un “chat inocente”: detrás hay datos personales, reglas del RGPD y límites claros cuando pasamos de informar a hacer publicidad. En este artículo veremos cómo deberían tratar las empresas la red WhatsApp, diferenciando mensajes informativos y mensajes comerciales, y qué dicen la AEPD y otras autoridades europeas sobre este tema
El punto de partida: datos personales y WhatsApp
Cada vez que una empresa escribe a un cliente por WhatsApp está tratando datos personales: como mínimo, su número de teléfono, y potencialmente también la foto de perfil, los estados o la información que se ve en el propio chat. Esto significa que el RGPD se aplica de lleno.
En una reciente respuesta a un ciudadano, la Agencia Española de Protección de Datos (AEPD) recuerda que cualquier tratamiento de datos personales necesita una base jurídica de las previstas en el artículo 6.1 RGPD: consentimiento, ejecución de un contrato, obligación legal, interés vital, misión de interés público o interés legítimo. En el caso planteado (un técnico que pide el teléfono para avisar cuando el ordenador está reparado y luego avisa por WhatsApp sin pedir permiso específico), la AEPD indica que las comunicaciones por WhatsApp con clientes deben contar con el consentimiento o apoyarse en otra base de licitud, como que el tratamiento sea necesario para ejecutar el contrato.
La Agencia también hace una advertencia práctica importante: WhatsApp, por defecto, permite que cualquiera que tenga tu número pueda contactar contigo y ver cierta información de tu perfil. Por eso recomienda revisar la configuración de privacidad y limitar quién puede ver foto de perfil, estados y otros datos, al menos a los contactos. Esto pone de relieve que el uso de WhatsApp no es neutro desde el punto de vista de la protección de datos: hay que valorar transparencia, proporcionalidad y minimización.
Mensajes informativos vs. mensajes comerciales
Para una empresa, el primer gran filtro consiste en distinguir dos tipos de comunicaciones por WhatsApp:
Mensajes informativos u operativos
Mensajes comerciales o publicitarios
2.1. ¿Qué son mensajes informativos?
Son aquellos necesarios para prestar el servicio o gestionar una relación ya existente con el cliente. Algunos ejemplos:
-Avisar de que un ordenador, coche o prenda está listo para recoger.
-Confirmar una cita o recordar la fecha y hora de un servicio contratado.
-Informar de una incidencia relevante en un pedido (retraso, cambio de horario, etc.).
En estos casos, suele ser posible apoyarse en la base jurídica de “ejecución de un contrato” (art. 6.1.b RGPD), siempre que el uso de WhatsApp sea razonable, proporcionado y acorde con lo que el cliente puede esperar cuando facilita su teléfono. Es decir, si el cliente entrega su número para que le avisen de la reparación, tiene sentido que se le contacte para ese aviso, incluso por WhatsApp, siempre que se le haya informado del canal o no resulte sorpresivo.
Eso sí, que sea un mensaje informativo no significa que todo valga. La empresa debería:
-Limitar el contenido a lo estrictamente necesario para la finalidad informativa.
-Evitar incluir datos especialmente sensibles u otra información que no haga falta.
-Informar al cliente, al menos en la política de privacidad o en el propio formulario, de que WhatsApp puede ser uno de los canales de contacto.
-Ofrecer alternativas razonables (por ejemplo, llamada o correo) a quien no quiera usar WhatsApp.
2.2. ¿Qué son mensajes comerciales?
Aquí entran todas las comunicaciones cuya finalidad principal es promover productos o servicios, fidelizar, aumentar ventas o mejorar la imagen de marca. Por ejemplo:
-Enviar ofertas, cupones de descuento o promociones especiales.
-Anunciar nuevos productos o servicios.
-Mandar boletines o “newsletters” por WhatsApp.
-Campañas de remarketing hacia clientes que hace tiempo que no compran.
En este terreno se aplican no solo el RGPD, sino también las normas específicas sobre comunicaciones comerciales electrónicas, como la LSSI en España. La regla general es clara: se necesita el consentimiento previo y específico del destinatario para enviarle publicidad por medios electrónicos, WhatsApp incluido.
Solo existe una excepción clásica: cuando hay una relación contractual previa y la empresa quiere enviar publicidad de productos o servicios similares a los ya contratados, siempre que el cliente hubiera facilitado su contacto en el marco de esa relación y se le haya ofrecido la posibilidad de oponerse en el momento de la recogida de datos y en cada comunicación. Aun así, esta excepción hay que aplicarla con prudencia, informando bien y respetando siempre el derecho de oposición.
Qué dicen la AEPD y otras autoridades
La AEPD ha venido pronunciándose en diversas ocasiones sobre el uso de WhatsApp por parte de empresas, no solo en consultas sino también en procedimientos sancionadores. De estas actuaciones se desprenden algunas ideas clave:
-Usar cuentas personales de empleados para tratar datos de clientes por WhatsApp es una mala práctica que puede infringir las obligaciones de seguridad y confidencialidad.
-Enviar comunicaciones comerciales por WhatsApp sin base legal suficiente (sin consentimiento ni amparo en la excepción de cliente previo correctamente aplicada) puede suponer una infracción grave.
-La ausencia de información clara al cliente sobre el uso de WhatsApp y el tipo de comunicaciones que recibirá también se valora negativamente.
Además, la AEPD sancionó en su día a WhatsApp y Facebook por cesiones y tratamientos de datos al margen del consentimiento informado, lo que subraya la atención del regulador sobre esta plataforma y su ecosistema.
En el plano europeo, otras autoridades y el propio Comité Europeo de Protección de Datos (EDPB) han cuestionado el uso de determinadas bases jurídicas por parte de WhatsApp para justificar tratamientos vinculados a marketing o mejoras de servicio, insistiendo en la necesidad de:
-Elegir una base de licitud adecuada y no “forzar” la ejecución del contrato para funciones que en realidad son marketing.
-Dar información transparente, sencilla y comprensible sobre qué datos se usan, para qué y con quién se comparten.
-Respetar realmente la posibilidad de que el usuario rechace determinados usos de sus datos, especialmente con fines publicitarios.
Este contexto europeo empuja a las empresas a ser más transparentes y respetuosas con la privacidad también cuando usan aplicaciones de mensajería instantánea como canal de negocio.
Buenas prácticas para empresas que usan WhatsApp
A partir de todo lo anterior, se pueden extraer algunas recomendaciones prácticas para las empresas que quieran utilizar WhatsApp de forma responsable y alineada con el RGPD:
Diferenciar claramente tipos de mensajes
Es fundamental separar internamente:
-Mensajes informativos (operativos, de servicio, de soporte).
-Mensajes comerciales (promociones, campañas de marketing, newsletters, etc.).
Esta distinción no debe ser solo teórica: conviene reflejarla en los procedimientos, plantillas de mensajes y sistemas de gestión de clientes. Así es más fácil acreditar la base jurídica utilizada en cada caso.
Usar herramientas adecuadas y no cuentas personales
Siempre que sea posible, es recomendable utilizar WhatsApp Business u otras soluciones pensadas para empresas, con perfiles profesionales, controles de acceso y posibilidades de gestión. El uso de cuentas personales de empleados para comunicarse con clientes aumenta el riesgo de accesos no autorizados, pérdida de conversaciones al rotar el personal y falta de trazabilidad.
La empresa debe definir quién puede usar el canal, desde qué dispositivos, con qué medidas de seguridad (bloqueo de pantalla, copias de seguridad cifradas, etc.) y cómo se gestionan las conversaciones cuando un empleado deja la organización.
Informar desde el principio
En los formularios de recogida de datos y en la política de privacidad conviene:
-Indicar si se utilizará WhatsApp como canal de comunicación.
-Diferenciar finalidades: por un lado, comunicaciones necesarias para gestionar pedidos, citas o servicios; por otro, comunicaciones comerciales.
-Explicar las bases jurídicas que se utilizarán (ejecución de contrato, consentimiento, interés legítimo en su caso).
-Señalar a qué tipo de mensajes puede esperar el cliente que se le envíen por esta vía.
Cuanto más claras sean las reglas desde el inicio, menos posibilidades habrá de conflicto y de reclamaciones.
Gestionar bien el consentimiento
Para el envío de publicidad por WhatsApp, lo más prudente es recabar un consentimiento expreso, específico y verificable. Algunas pautas útiles:
-Usar casillas independientes para las comunicaciones comerciales por WhatsApp, separadas de otras finalidades.
-No marcar las casillas por defecto; el cliente debe manifestar su voluntad de forma activa.
-Registrar el momento, el contexto y el contenido del consentimiento.
-Permitir que se retire fácilmente, por ejemplo indicando en cada mensaje comercial un texto tipo “Responde ‘BAJA’ para dejar de recibir promociones por WhatsApp”.
Aunque pueda existir la excepción de “cliente previo” en algunos casos, el consentimiento explícito es la vía más clara y segura.
Respetar la minimización de datos
Que sea cómodo enviar documentos y fotos por WhatsApp no significa que sea siempre apropiado. La empresa debe evitar:
-Compartir datos sensibles (salud, datos financieros, etc.) cuando no sea imprescindible.
-Enviar más información de la necesaria para la finalidad concreta de la comunicación.
-Usar WhatsApp para transmitir información que requiera canales más seguros o habilitados (por ejemplo, ciertos documentos legales o datos especialmente protegidos).
Facilitar siempre el derecho de oposición
En los mensajes comerciales, es buena práctica incluir siempre un mecanismo sencillo para que el cliente pueda dejar de recibir comunicaciones: una palabra clave, una opción clara en el propio mensaje o una instrucción breve. Negar o dificultar la baja no solo genera mala imagen, sino que también puede contravenir la normativa.
En las comunicaciones informativas, aunque la base jurídica sea la ejecución del contrato, también tiene sentido ofrecer alternativas (correo, llamada) para clientes especialmente sensibles al uso de WhatsApp
Un ejemplo práctico
Imaginemos un taller de reparación informática:
-El cliente deja su ordenador y facilita su número de teléfono para que le avisen cuando esté listo.
-El taller explica en la hoja de encargo que puede contactar por llamada, SMS o WhatsApp para avisos relacionados con la reparación.
-Cuando el equipo está listo, envía un mensaje de WhatsApp: “Hola, ya puedes pasar a recoger tu ordenador. Abrimos de 9:00 a 14:00 y de 17:00 a 20:00”.
En este caso, el mensaje tiene carácter informativo y está vinculado al contrato. Se apoya en la necesidad de ejecutar el contrato y en la expectativa razonable del cliente.
Si ese mismo taller quiere usar WhatsApp para enviar a ese cliente un mes después una promoción de “10% de descuento en tu próxima reparación” o “Oferta especial en accesorios”, debería:
-Haberse asegurado de contar con su consentimiento para comunicaciones comerciales por WhatsApp, o
-Cumplir estrictamente las condiciones de la excepción de cliente previo, informando y permitiendo la oposición desde la primera ocasión.
En definitiva, el canal es el mismo, pero la finalidad cambia. Y con la finalidad cambian también la base jurídica, las obligaciones de información y el nivel de exigencia.
En resumen, WhatsApp puede ser una herramienta muy útil para mejorar la relación con los clientes, pero exige a las empresas un tratamiento responsable de los datos personales. Diferenciar claramente entre mensajes informativos y mensajes comerciales, elegir la base jurídica adecuada y respetar la privacidad desde el diseño no es solo cumplir la ley: también es construir confianza en un canal tan cercano y directo como la mensajería instantánea.