Si vendes a clientes europeos y utilizas WhatsApp para hacer marketing, el ámbito legal en el que operas es más complejo que el que exige el marketing por email o SMS. WhatsApp es propiedad de Meta, funciona sobre una infraestructura que procesa datos entre jurisdicciones y ha sido objeto de importantes acciones de aplicación del RGPD, incluida una multa de 225 millones de euros de la Comisión Irlandesa de Protección de Datos en 2021 contra la propia WhatsApp.

Esto no es un motivo para evitar WhatsApp. El marketing por WhatsApp es totalmente compatible con el RGPD cuando se hace correctamente, y marcas como Takko Fashion, KLM y SNOCKS han operado programas sofisticados de WhatsApp en la UE durante años sin incidentes legales. Pero «hacerlo correctamente» exige más que el opt-in casual que suele bastar para SMS. Esta publicación explica qué exige realmente el RGPD para el marketing por WhatsApp, qué cambió en 2026 con la Ley de Servicios Digitales y la Ley de Mercados Digitales, y cómo construir un programa que supere una auditoría.

Aviso estándar: esto no constituye asesoramiento legal. Para obtener orientación vinculante sobre tu situación concreta, consulta a un abogado especializado en protección de datos en tu jurisdicción. Lo que sigue es un resumen práctico y claro de dónde se sitúan las normas a mayo de 2026.

La pila de cumplimiento de tres capas

El marketing por WhatsApp en la UE se encuadra en una pila regulatoria de tres capas, y debes cumplir las tres.

La primera capa es el Reglamento General de Protección de Datos (RGPD), que regula el tratamiento de los datos personales de los residentes de la UE con independencia de dónde esté ubicada tu empresa. En WhatsApp, los artículos relevantes cubren la base jurídica del tratamiento (artículo 6), los requisitos específicos del consentimiento (artículo 7), los derechos de los interesados (artículos 15 a 22) y la obligación de suscribir un Acuerdo de Encargado del Tratamiento con cualquier encargado que trate datos de la UE en tu nombre (artículo 28).

La segunda capa es la Directiva de Privacidad Electrónica (ePrivacy), que añade requisitos específicos para la mensajería sobre el RGPD. En general, ePrivacy exige un consentimiento previo explícito para las comunicaciones electrónicas no solicitadas, con una excepción limitada de soft opt-in para relaciones previas con clientes existentes. Las implementaciones nacionales varían significativamente entre Estados miembros.

La tercera capa, reforzada en 2024 y 2026, es la Ley de Servicios Digitales (DSA) y la Ley de Mercados Digitales (DMA). La DMA designó a WhatsApp como plataforma «gatekeeper» en 2023, lo que activó requisitos de interoperabilidad y obligaciones de moderación de contenido. La DSA añadió requisitos de evaluación de riesgos y transparencia para las plataformas en línea muy grandes. Para la mayoría de los comerciantes de Shopify, el impacto práctico de la DSA y la DMA en 2026 es limitado, pero la tendencia es hacia más cumplimiento, no menos.

Qué versión de WhatsApp es compatible con el RGPD para uso empresarial

No todas las tres variantes de WhatsApp cumplen por igual. Saber cuál utilizas es la primera cuestión de cumplimiento.

La app personal de WhatsApp no es compatible con el RGPD para la comunicación empresarial. Sube automáticamente listas de contactos a Meta, procesa metadatos de formas que han atraído repetidamente la atención regulatoria y no ofrece un Acuerdo de Encargado del Tratamiento. Si tu equipo de ventas usa WhatsApp personal en su teléfono para hablar con clientes sobre pedidos, estás expuesto.

La app gratuita de WhatsApp Business se mueve en una zona gris. No sube automáticamente listas de contactos, pero comparte la misma infraestructura subyacente que WhatsApp personal y carece de controles de acceso significativos. Algunos expertos jurídicos la consideran en general aceptable para negocios muy pequeños; otros la señalan como arriesgada para cualquier empresa que trate datos relevantes de clientes. La lectura más prudente es que la app gratuita de Business no es adecuada para empresas reguladas por el RGPD si por ella circula cualquier dato relevante de clientes.

La Plataforma de WhatsApp Business (Cloud API), cuando se accede a ella a través de un Business Solution Provider que firma un DPA contigo, es la versión que puede operar de forma compatible con el RGPD. Es la única versión con el rastro de auditoría, la gestión del opt-in, los mecanismos de borrado de datos y el marco contractual que exige el RGPD.

Así que la respuesta básica a «¿mi marketing por WhatsApp cumple el RGPD?» es: solo si usas la Cloud API, solo si tu BSP te proporciona un DPA, y solo si tu flujo de opt-in y tu gestión de datos están correctamente diseñados.

Qué cuenta como consentimiento válido del RGPD para WhatsApp

El artículo 7 del RGPD establece un listón alto para el consentimiento. Debe ser libre, específico, informado e inequívoco. El consentimiento obtenido mediante una casilla premarcada, un acuerdo agrupado o una referencia vaga no cumple el estándar. Para WhatsApp en concreto, el consentimiento debe estar vinculado al canal: un cliente que consintió recibir tu newsletter por email no ha consentido por ello recibir marketing por WhatsApp.

El momento de recogida del consentimiento debe incluir tres elementos. Primero, una declaración explícita de a qué se está suscribiendo el usuario («recibir mensajes de marketing de [Marca] en WhatsApp»). Segundo, la identidad del responsable del tratamiento (el nombre de tu marca, no solo «nosotros»). Tercero, una descripción de los tipos de mensajes y de la frecuencia aproximada («lanzamientos de productos, anuncios de ofertas y reposiciones, aproximadamente de dos a cuatro mensajes al mes»).

Las casillas premarcadas no están permitidas. Agrupar el opt-in de WhatsApp con la aceptación de los términos de servicio no está permitido. Un opt-in general de SMS no se traslada a WhatsApp. Una afirmación vaga como «al enviar este formulario aceptas recibir comunicaciones de marketing» no es lo suficientemente específica.

El consentimiento debe documentarse. Debes poder demostrar, para cualquier suscriptor, cuándo consintió, a qué consintió, qué texto vio y desde qué punto de recogida. Si tu BSP no almacena esos metadatos, no puedes probar el consentimiento en una auditoría, y un opt-in no documentado se trata como si no existiera.

Single opt-in frente a double opt-in: qué dice realmente la ley

Existe mucha confusión sobre si el double opt-in es obligatorio según el RGPD. La respuesta jurídica estricta es que el double opt-in no se exige explícitamente en el RGPD, pero se considera ampliamente una buena práctica porque aporta una prueba documentada del consentimiento que el single opt-in no ofrece.

Un flujo de single opt-in sería así: el cliente marca una casilla explícita y no agrupada de consentimiento para marketing por WhatsApp en el checkout, tú registras el consentimiento y ya puedes enviarle mensajes.

Un flujo de double opt-in sería así: el cliente marca la casilla de consentimiento, tú envías un único mensaje de confirmación a su número de WhatsApp pidiéndole que responda SÍ para confirmar, y solo después de que responda lo añades a la lista de marketing.

El double opt-in es la vía más segura por dos razones. Primero, verifica de forma independiente que el número de teléfono pertenece a la persona que dio su consentimiento. Sin verificación, cualquiera podría introducir el número de teléfono de otra persona en tu formulario y esa persona empezaría a recibir mensajes de marketing sin haber consentido nunca. Segundo, el double opt-in genera un rastro de auditoría que incluye la acción afirmativa del usuario en el propio WhatsApp, que es la prueba más sólida posible de consentimiento específico del canal.

Las marcas que vemos operar correctamente en la UE utilizan todas double opt-in. Las marcas que vemos recibir quejas y advertencias suelen ser las que importaron una lista de teléfonos y pidieron perdón después.

El soft opt-in para clientes existentes

ePrivacy prevé una excepción limitada de soft opt-in: una empresa puede hacer marketing a un cliente existente sobre productos similares a los previamente comprados, sin consentimiento previo explícito, siempre que el cliente haya tenido una oportunidad clara de darse de baja en el momento de la recogida y en cada mensaje posterior.

El soft opt-in es más limitado de lo que mucha gente supone. Solo se aplica a clientes existentes. Solo cubre productos similares. Sigue exigiendo un mecanismo de baja. Y las implementaciones nacionales varían: Alemania lo interpreta de forma estricta, mientras que Reino Unido y Países Bajos son más flexibles.

Para WhatsApp, nuestro consejo práctico es no confiar en el soft opt-in salvo que tu asesoría jurídica lo haya aprobado específicamente para tu contexto. El coste marginal de ejecutar un double opt-in correcto es bajo. El perjuicio de equivocarse con la interpretación del soft opt-in es alto.

Acuerdos de tratamiento de datos con tu BSP

El artículo 28 del RGPD exige un Acuerdo de Tratamiento de Datos con cualquier tercero que trate datos personales en tu nombre. Tu BSP de WhatsApp es uno de esos terceros. Si no tienes un DPA con él, no cumples, por muy bueno que sea tu flujo de opt-in.

Un DPA debe especificar la finalidad y duración del tratamiento, las categorías de datos y de interesados, las medidas de seguridad que aplicará el encargado, los subencargados que pueda utilizar, las ubicaciones geográficas donde pueden tratarse los datos y la asistencia que prestará el encargado para atender solicitudes de derechos de los interesados y incidentes de seguridad.

Tres cosas concretas que debes revisar en un DPA de BSP: primero, ¿dónde se procesan y almacenan físicamente los datos? Los datos alojados en la UE son el caso más sencillo. Los datos alojados en terceros países (Hong Kong, India, Estados Unidos fuera de marcos sucesores del Privacy Shield) requieren Cláusulas Contractuales Tipo y, posiblemente, una Evaluación de Impacto de la Transferencia. Segundo, ¿quiénes son los subencargados? Meta en sí misma es un subencargado para cualquier BSP de WhatsApp, y eso debería constar. También deberían enumerarse otros subencargados (proveedores de nube, proveedores de analítica). Tercero, ¿cuál es el compromiso de borrado de datos cuando rescindes el contrato? Necesitas una garantía explícita de que los datos se devolverán o destruirán en un plazo definido.

Residencia de datos en la UE: por qué importa y dónde están realmente los proveedores

El lugar donde se procesan los datos de tu WhatsApp es una cuestión de cumplimiento relevante que la mayoría de los comerciantes nunca plantea a su proveedor.

WATI tiene su sede en Hong Kong. Hong Kong es un tercer país a efectos del RGPD. Las transferencias de datos a la infraestructura de WATI requieren Cláusulas Contractuales Tipo y, discutiblemente, una Evaluación de Impacto de la Transferencia que considere el régimen jurídico de Hong Kong. Zoko tiene su sede en India. Se aplican las mismas consideraciones de tercer país. Dondy es global y no ofrece en sus materiales públicos ningún compromiso específico de residencia en la UE. 360dialog tiene su sede en Berlín y ofrece alojamiento de datos en la UE. Esta es la historia más limpia entre los principales BSP desde el punto de vista de la residencia, con la salvedad de que 360dialog solo proporciona infraestructura API y no una plataforma de cara al comerciante.

La configuración más segura para un comerciante regulado de la UE es un BSP con residencia de datos en la UE, un delegado de protección de datos residente en la UE y un DPA que no dependa de Cláusulas Contractuales Tipo hacia un tercer país.

Los cambios de 2026 que debes conocer

Algunos desarrollos concretos endurecieron las expectativas de cumplimiento en 2026.

En enero de 2026, Meta actualizó los Términos de la Solución WhatsApp Business para prohibir los chatbots de IA de uso general en la plataforma. Esto tiene implicaciones de RGPD porque el tratamiento de datos personales por IA sin consentimiento explícito para usos específicos de IA puede constituir un tratamiento adicional que requiera consentimiento adicional. Los bots con una función concreta y acotados a tu contexto empresarial son más fáciles de defender. Los envoltorios de LLM de propósito abierto, no.

Con arreglo a la Ley de Servicios Digitales, WhatsApp está ahora sujeto a requisitos de transparencia en la moderación de contenidos, y las empresas que operan en la plataforma deben aplicar procedimientos de gestión de riesgos si califican como participantes en una Plataforma en Línea Muy Grande.

Con arreglo a la Ley de Mercados Digitales, las obligaciones de interoperabilidad de WhatsApp se han ido desplegando gradualmente desde 2024. Los clientes pueden escribirte a través de mensajeros de terceros bajo las disposiciones de interoperabilidad compatibles con la DMA. El cifrado de extremo a extremo se mantiene para la mensajería entre particulares, pero el traspaso del cifrado a aplicaciones de terceros introduce modelos de amenaza que tu política de protección de datos quizá deba reconocer.

La pausa de marketing en EE. UU. de abril de 2025 también tiene una implicación afín al RGPD para las marcas de la UE que venden a clientes estadounidenses. Si alguna vez has enviado mensajes a un número estadounidense +1, esas interacciones están ahora sujetas a un régimen de políticas distinto al de tus envíos en la UE.

Una lista de comprobación RGPD de 12 puntos para tu programa de WhatsApp

Úsala como lista de comprobación previa al lanzamiento y para auditorías trimestrales de tu configuración de marketing por WhatsApp.

1. Operas sobre la Plataforma de WhatsApp Business (Cloud API) a través de un BSP, no sobre la app personal ni la app gratuita de Business, para cualquier comunicación relevante con clientes.

2. Has firmado un DPA con tu BSP que nombra subencargados, especifica la ubicación de los datos y se compromete a un plazo de borrado.

3. Cada opt-in de marketing por WhatsApp se recoge mediante una acción de consentimiento explícita, no agrupada y específica del canal, con un texto documentado.

4. Cada consentimiento se registra con marca temporal, origen, texto mostrado y dirección IP (o equivalente), y el registro se puede exportar.

5. Utilizas double opt-in para los nuevos suscriptores, con el mensaje de confirmación y la respuesta almacenados como parte del registro de consentimiento.

6. Cada mensaje de marketing por WhatsApp incluye un mecanismo de baja claro y sencillo, en un lenguaje que el destinatario entiende.

7. Las solicitudes de baja se atienden en un plazo de 24 horas y el contacto se elimina de todos los segmentos de marketing, no solo se pausa.

8. Tu política de privacidad menciona explícitamente WhatsApp como canal de marketing, nombra a tu BSP y describe los flujos de datos.

9. Las solicitudes de acceso de los interesados pueden responderse respecto a los datos de WhatsApp en un plazo de 30 días y tu BSP lo admite.

10. Las solicitudes de supresión de los interesados dan lugar a un borrado real en tu CRM, en la plataforma de tu BSP y en tus archivos de mensajes.

11. Tu asistente de IA en WhatsApp está acotado a tu contexto empresarial, tiene un comportamiento de rechazo explícito para solicitudes fuera de tema y no constituye un tratamiento adicional de IA que requiera un consentimiento separado.

12. Conservas los datos de mensajes de WhatsApp solo durante el tiempo que exige tu política de retención declarada, que está documentada y no es indefinida.

Si no puedes responder sí a las doce, tienes trabajo específico por hacer. Las carencias más comunes que vemos en el mercado de la UE son los DPA ausentes, los rastros de opt-in no documentados y el uso de WhatsApp personal por parte de los equipos de ventas.

Preguntas frecuentes

¿Necesito un consentimiento separado para el marketing por WhatsApp si ya tengo consentimiento para email?

Sí. ePrivacy y el RGPD tratan el consentimiento como específico del canal. Un usuario que aceptó tu newsletter por email no ha consentido recibir mensajes de WhatsApp.

¿Puedo usar el número de teléfono de un cliente de un pedido en Shopify para enviarle marketing por WhatsApp?

No, no sin consentimiento explícito para marketing por WhatsApp. El número de teléfono se proporcionó para la ejecución del pedido bajo otra base jurídica (cumplimiento de contrato, artículo 6(1)(b)).

¿Cuál es la multa máxima por una infracción del RGPD en WhatsApp?

El máximo general del RGPD es el mayor entre 20 millones de euros o el 4 por ciento de la facturación anual mundial. En la práctica, las multas por problemas relacionados con WhatsApp para un negocio del tamaño de Shopify han estado en el rango de 5.000 a 500.000 euros.

¿Basta con el cifrado de extremo a extremo de WhatsApp para cumplir el RGPD?

El cifrado ayuda, pero no satisface por sí solo el RGPD. El RGPD exige base jurídica, gestión del consentimiento, derechos de los interesados, rastros de auditoría y DPA, además de medidas de seguridad como el cifrado.

¿Puedo enviar marketing por WhatsApp a clientes en EE. UU. conforme al RGPD?

El RGPD se aplica a los residentes de la UE. Si un cliente está en EE. UU., el RGPD no se aplica directamente, pero pueden aplicarse las leyes estatales estadounidenses (CCPA en California y leyes similares en Virginia, Colorado, Connecticut y Utah). Ten en cuenta también que desde el 1 de abril de 2025, los mensajes plantilla de marketing a números de teléfono +1 están en pausa por Meta y no se entregan.

Mi BSP dice que cumple el RGPD. ¿Eso significa que yo cumplo?

No. Que tu BSP cumpla es necesario, pero no suficiente. Tú eres el responsable del tratamiento y eres responsable de la base jurídica, la recogida del consentimiento, los mecanismos de baja y la gestión de los derechos de los interesados en tu extremo.

¿Necesito un Delegado de Protección de Datos para mi programa de WhatsApp de Shopify?

Se requiere un DPO conforme al artículo 37 del RGPD si tus actividades principales implican una supervisión sistemática y a gran escala de personas o un tratamiento a gran escala de categorías especiales de datos. La mayoría de las tiendas de Shopify no alcanzan ese umbral solo por su programa de WhatsApp.