IA en WhatsApp y RGPD: cómo automatizar sin saltarte la ley de protección de datos
Actualizado: 4 junio 2026
Un cliente escribe a tu WhatsApp, la IA responde en segundos, anota sus datos y programa un seguimiento. Todo perfecto, hasta que llega una resolución de la AEPD preguntando qué base legal tienes para tratar ese número, con qué finalidad y dónde está el consentimiento. Automatizar WhatsApp sin una capa normativa básica convierte una ventaja operativa en un riesgo legal real. Este artículo explica qué exige el RGPD, qué errores castiga la AEPD y qué hace Tubot para que operes dentro de la ley desde el primer mensaje.
¿Qué exige el RGPD cuando una IA atiende WhatsApp?
El RGPD (Reglamento UE 2016/679) es la norma europea que regula el tratamiento de datos personales, incluido el número de teléfono de un cliente y el contenido de una conversación de WhatsApp. Para una empresa que automatiza ese canal con IA, sirve cuando necesita demostrar ante la AEPD que cada conversación tiene una base legal, que el usuario fue informado y que puede ejercer sus derechos en cualquier momento.
El Artículo 6 del RGPD enumera las seis bases legales posibles. Para la mayoría de los negocios en WhatsApp, solo tres son aplicables: el consentimiento del interesado, la ejecución de un contrato y el interés legítimo del responsable. Sin al menos una de ellas documentada, el tratamiento es ilícito desde el primer mensaje que la IA envía o recibe.
Las tres bases legales que permiten automatizar WhatsApp
Elegir la base legal correcta no es un tecnicismo: define qué puedes enviar, cuándo y a quién. Para una IA de WhatsApp sobre WhatsApp Business API, aplicar la base equivocada o no tener ninguna es la infracción más habitual que la AEPD detecta y sanciona, incluso en negocios pequeños.
- Ejecución de un contrato (Art. 6.1.b RGPD): si el cliente te dio su número para recibir el servicio, puedes usar ese canal para gestionarlo. Citas, confirmaciones, avisos de pedido o seguimiento de incidencias caben aquí sin necesitar consentimiento adicional, siempre que la comunicación sea operativa y no publicitaria.
- Consentimiento expreso (Art. 6.1.a RGPD): necesario para enviar ofertas, campañas o cualquier comunicación comercial. El consentimiento debe ser libre, específico, informado e inequívoco. No vale la casilla marcada por defecto ni el silencio. Debes guardar evidencia con fecha y hora fuera del historial del chat.
- Interés legítimo (Art. 6.1.f RGPD): aplicable cuando el cliente inició el contacto y espera una respuesta. Si alguien escribe a tu WhatsApp de empresa para pedir información, responder es legítimo. No ampara envíos masivos, seguimientos agresivos ni reactivaciones pasado el tiempo razonable.
El Art. 21 de la LSSI añade que, si existe una relación contractual previa, puedes enviar comunicaciones comerciales sobre productos o servicios similares a los ya contratados sin consentimiento adicional, siempre que hayas informado al cliente y ofrezcas baja en cada envío.
¿Qué es el opt-in y por qué es la pieza clave en una IA de WhatsApp?
El opt-in es el proceso por el que un usuario autoriza expresamente recibir comunicaciones de tu empresa por WhatsApp. Es la pieza clave porque sin él, cualquier mensaje comercial enviado por una IA a un número que no lo solicitó explícitamente vulnera la LSSI y puede desencadenar una sanción de la AEPD, independientemente del volumen o la intención.
Para que sea válido, el opt-in debe cumplir tres condiciones: el usuario realiza una acción positiva (marcar una casilla desmarcada, responder con una palabra clave de aceptación), queda registrado con fecha, hora y canal fuera del chat, y se refiere de forma específica a las comunicaciones de WhatsApp. WhatsApp Business API incluye mecanismos para gestionar este consentimiento dentro del propio canal. En el primer mensaje automático, Tubot puede incluir la capa de información obligatoria del Art. 13 del RGPD: responsable del tratamiento, finalidad, base legal, derechos del interesado y enlace a la política de privacidad. Si el lead inicia él mismo la conversación, esa acción es un primer indicador de interés, pero no exime de informarle desde el primer mensaje.
La ventana de 24 horas: cómo Tubot la respeta
La ventana de 24 horas es la regla de Meta por la que, una vez que el usuario envía un mensaje a tu número de WhatsApp Business, tienes 24 horas para responder con cualquier tipo de contenido. Pasado ese plazo, solo puedes contactar mediante plantillas aprobadas por Meta en categorías de utilidad, autenticación o marketing, cada una con sus propios requisitos de contenido y coste.
Esta regla importa a efectos del RGPD porque enviar una plantilla de marketing fuera de la ventana requiere que el usuario haya optado expresamente por recibirla y que esa plantilla esté aprobada por Meta. Si la plantilla no cumple ambas condiciones, la comunicación es ilícita tanto para Meta como para la AEPD. Tubot opera sobre WhatsApp Business API y respeta la ventana mediante lógica de producto: el seguimiento por voz a las 4 horas cae dentro de la ventana activa, y las reactivaciones posteriores usan plantillas aprobadas en la categoría correcta. Los flujos que aplica la IA de WhatsApp para inmobiliarias o la IA de WhatsApp para ecommerce están diseñados para mantener la conversación activa sin forzar contactos fuera del marco permitido.
Errores frecuentes que la AEPD ya ha sancionado
El incumplimiento del RGPD en WhatsApp no es un riesgo abstracto. La AEPD ha emitido resoluciones sancionadoras reales con base en el uso indebido de la mensajería empresarial. Conocer estos casos permite evitar los mismos errores antes de que una denuncia los exponga.
- Incluir a alguien en un grupo sin consentimiento: la AEPD impuso una multa de 42.000 euros a una empresa por añadir a una empleada a un grupo de WhatsApp sin su autorización expresa. Su número quedó visible para todos los integrantes, lo que constituye una cesión de datos a terceros sin base legal.
- Enviar documentos de clientes desde un móvil personal: una asesoría recibió 5.000 euros de sanción por transmitir archivos con datos de clientes a través de WhatsApp en un dispositivo sin medidas de seguridad corporativas, incumpliendo el Art. 32 del RGPD.
- No ofrecer baja en comunicaciones comerciales: el Art. 21 de la LSSI obliga a incluir en cada envío un mecanismo sencillo y gratuito para que el destinatario se oponga. Omitirlo convierte cada mensaje en una infracción adicional.
- Usar WhatsApp personal para fines profesionales: la versión de WhatsApp Messenger no incluye el contrato de procesamiento de datos del Art. 28 del RGPD (DPA). Sin ese contrato con WhatsApp como encargado del tratamiento, la empresa no puede demostrar cumplimiento ante una inspección.
Las multas máximas del RGPD alcanzan 20 millones de euros o el 4% de la facturación anual global (Art. 83 RGPD). Para pymes, la AEPD tiende a aplicar tramos inferiores que suelen moverse entre 4.000 y 10.000 euros en infracciones de nivel medio.
Sin protocolo RGPD frente a IA de WhatsApp con cumplimiento integrado
Esta tabla compara la gestión sin protocolo normativo y la IA de WhatsApp con cumplimiento integrado. Sirve para identificar dónde se concentra el riesgo legal y qué reduce cada enfoque en términos operativos y de protección de datos.
| Situación | Sin protocolo RGPD | Con Tubot |
|---|---|---|
| Primer mensaje automático | Sin capa de información | Incluye responsable, finalidad y derechos |
| Seguimiento a las 4 horas | Puede caer fuera de ventana o sin base | Dentro de ventana activa, con base documentada |
| Plantilla de reactivación | Enviada sin aprobación ni opt-in | Plantilla aprobada, categoría correcta |
| Baja del usuario | Sin mecanismo claro | Opt-out accesible en el propio hilo |
| Registro de consentimiento | Solo en historial del chat | Evidencia externa con timestamp |
Ejemplo de primer mensaje con capa de información del RGPD
Ejemplo ilustrativo:Lead: Hola, ¿podéis darme precio para limpiar mi oficina?
Tubot: Hola. Antes de empezar, te informo que este canal pertenece a [Empresa]. Tratamos tu nombre y teléfono para responder tu consulta, con base en tu solicitud. Puedes acceder, rectificar o suprimir tus datos escribiéndonos. Política completa: [enlace]. ¿Me cuentas los metros y el tipo de servicio que necesitas?
Lead: Unos 150 metros, limpieza semanal.
Tubot: Perfecto. ¿Cuántos baños tiene y está vacía o con mobiliario?
Lead: Dos baños, con mobiliario.
Tubot: Anotado. Para 150 m² con mobiliario y dos baños, el rango orientativo de una limpieza semanal está entre 180 y 240 euros al mes. ¿Te agendo una visita técnica para cerrar el precio?
Lead: Sí, ¿podéis venir el jueves?
Tubot: Tengo jueves a las 10:30 y a las 17:00. ¿Cuál te encaja? Si en algún momento no quieres seguir recibiendo mensajes aquí, responde BAJA y lo gestionamos de inmediato.
Checklist de cumplimiento RGPD para una IA de WhatsApp
Un checklist es la forma más rápida de detectar huecos normativos antes de activar cualquier flujo automatizado. Los puntos que no puedas marcar son, en la mayoría de los casos, los mismos que la AEPD comprueba ante una denuncia o inspección.
- Tienes documentada la base legal para cada tipo de comunicación: operativa, comercial y seguimiento.
- El primer mensaje incluye responsable, finalidad, base legal, derechos y enlace a política de privacidad (Art. 13 RGPD).
- Usas WhatsApp Business API, que incluye el contrato DPA con WhatsApp (Art. 28 RGPD).
- Las plantillas de reactivación están aprobadas por Meta y pertenecen a la categoría correcta.
- Ofreces mecanismo de baja sencillo y gratuito en cada comunicación comercial.
- El registro de consentimientos tiene timestamp y se almacena fuera del historial del chat.
- Los datos de clientes se tratan en dispositivos con medidas de seguridad corporativas (Art. 32 RGPD).
- Tienes procedimiento documentado para atender derechos ARCO+ en el plazo de un mes (Art. 17 RGPD).
Si gestionas sectores con datos especialmente protegidos, como salud dental o información jurídica, el RGPD exige medidas adicionales por categorías especiales (Art. 9). Los flujos descritos en la guía de automatización de pedidos por WhatsApp o en cualquier otra operativa se diseñan con estas reglas en mente desde el primer nodo. Para validar tu caso y detectar qué pasos te faltan, puedes escribir desde contacto de Tubot o empezar en Tubot.
Preguntas frecuentes
¿Qué base legal es la más habitual para automatizar WhatsApp en una pyme?
Para conversaciones iniciadas por el cliente, la base más habitual es la ejecución de un contrato o el interés legítimo derivado de la solicitud del propio usuario. Para enviar campañas o mensajes comerciales proactivos a contactos que no han escrito recientemente, se necesita consentimiento expreso previo, guardado con evidencia de fecha y canal fuera del historial del chat.
¿Es suficiente usar WhatsApp Business para cumplir el RGPD?
No. WhatsApp Business o WhatsApp Business API son la capa técnica necesaria, pero el cumplimiento del RGPD depende de lo que haga la empresa: qué datos recoge, qué base legal tiene, cómo informa al usuario y cómo gestiona los derechos. Usar la herramienta correcta es un requisito, no una garantía de cumplimiento.
¿Qué ocurre si el usuario pide la baja en WhatsApp?
Cuando un usuario solicita dejar de recibir mensajes, el flujo debe detenerse de inmediato y el dato de contacto debe desvincularse del sistema de envíos. Si la base legal era el consentimiento, su retirada obliga a cesar el tratamiento para esa finalidad. La empresa tiene un mes para confirmar la baja y ejecutar cualquier derecho de supresión ejercido formalmente.
¿Puede la IA de WhatsApp enviar mensajes de seguimiento después de 24 horas?
Solo mediante plantillas aprobadas por Meta en las categorías de utilidad, autenticación o marketing. Las plantillas de marketing requieren que el usuario haya optado por recibirlas y que la empresa tenga consentimiento documentado. Fuera de ese marco, enviar mensajes libres pasadas 24 horas incumple las políticas de Meta y la base legal del RGPD.
¿Qué sanción puede imponer la AEPD por incumplir el RGPD en WhatsApp?
Las multas del RGPD (Art. 83) pueden alcanzar 20 millones de euros o el 4% de la facturación anual global. Para pymes, la AEPD suele aplicar tramos inferiores: entre 4.000 y 10.000 euros en infracciones de nivel medio, como ausencia de base legal o falta de medidas de seguridad. Casos documentados incluyen 42.000 euros por incluir a alguien en un grupo sin consentimiento y 5.000 euros por enviar datos de clientes desde un dispositivo personal sin protección.
Fuentes
- AEPD, 2024, https://www.aepd.es/derechos-y-deberes/conoce-tus-derechos/derecho-informacion
- Reglamento UE 2016/679 (RGPD), Artículos 6, 13, 17, 32 y 83, https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A32016R0679
- INCIBE, 2024, https://www.incibe.es/empresas/blog/utiliza-whatsapp-tu-empresa-cumpliendo-el-rgpd-y-lopdgdd
- Meta, 2026, https://developers.facebook.com/docs/whatsapp/pricing
- Meta, 2026, https://developers.facebook.com/documentation/business-messaging/whatsapp/messages/send-messages
¿Tu IA de WhatsApp responde en segundos, pero no sabes si el primer mensaje cumple el Art. 13 del RGPD?
Auditoría gratuita. Pídela por WhatsApp ahora: el equipo revisa tu caso y te responde en menos de 30 segundos.
