WhatsApp con clientes y RGPD: guía 2026 para autónomos

Si eres autónomo — abogado, fisioterapeuta, agente inmobiliario, peluquera, profesor particular, consultor, monitor deportivo — lo más probable es que ya hables con tus clientes por WhatsApp. Es cómodo, es rápido, todo el mundo lo tiene. El problema es que la mayoría de profesionales que lo usan a diario nunca se han parado a comprobar si lo están haciendo de forma legal.

Esta guía no es un panfleto comercial ni una opinión personal. Es un repaso ordenado de lo que el Reglamento (UE) 2016/679 (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD) dicen sobre tratar datos de clientes por WhatsApp en España, con sanciones reales que la Agencia Española de Protección de Datos ya ha impuesto y enlaces directos a las fuentes oficiales para que puedas comprobar todo por tu cuenta.

El objetivo es sencillo: que cuando termines de leer sepas exactamente qué cumples, qué incumples y qué cambios concretos necesitas hacer para dormir tranquilo.

Cuándo el RGPD se aplica al uso de WhatsApp con clientes

Antes de discutir si WhatsApp Business es obligatorio o no, conviene saber cuándo empieza a aplicarse el RGPD a tu actividad. Hay una creencia muy extendida según la cual el reglamento sólo afecta a «empresas grandes». No es cierto.

Qué considera el RGPD un «tratamiento de datos»

El artículo 4.2 del RGPD define tratamiento como cualquier operación realizada sobre datos personales, sea o no automatizada: recogida, registro, organización, conservación, consulta, difusión, etc. Cuando un cliente te manda su nombre y teléfono por WhatsApp y tú los guardas, los consultas o los reenvías, ya estás tratando datos personales.

Y el artículo 6.1 del RGPD exige que ese tratamiento tenga una base jurídica concreta: consentimiento, ejecución de un contrato, obligación legal, interés vital, interés público o interés legítimo. Si no puedes señalar a una de las seis, el tratamiento es ilícito.

Quién es responsable y quién es encargado del tratamiento

Si tú eres autónomo y decides hablar con tus clientes por WhatsApp, eres el responsable del tratamiento: tú decides el porqué (gestionar la relación con el cliente) y el cómo (a través de WhatsApp). Y WhatsApp es un encargado del tratamiento, porque procesa esos datos por cuenta tuya.

El artículo 28 del RGPD obliga al responsable a regular esa relación mediante un contrato de encargado del tratamiento (Data Processing Agreement, DPA). El contrato es obligatorio. La firma. La existencia documental. No es una recomendación.

Aquí aparece el primer problema gordo de usar WhatsApp Messenger personal para clientes: WhatsApp no ofrece DPA en su versión personal. Sí lo ofrece en WhatsApp Business y, sobre todo, en la WhatsApp Business Platform / Cloud API. Y ese contrato está publicado abiertamente en whatsapp.com/legal/business-data-processing-terms.

¿Es ilegal usar WhatsApp personal con clientes? El mito y la realidad

Esta es la pregunta clave y tiene una respuesta matizada que conviene entender bien antes de rasgarse las vestiduras o, al revés, de quedarse tranquilo cuando no deberías.

Lo que la ley sí exige

El RGPD, en sus artículos 5, 28 y 32, exige que cualquier tratamiento profesional de datos personales cuente con: una base jurídica documentada, un contrato con cada encargado externo y unas medidas técnicas y organizativas apropiadas al riesgo. Esto último incluye cifrado del dispositivo, controles de acceso, separación entre uso personal y profesional y trazabilidad de los datos.

Cuando usas WhatsApp Messenger desde tu móvil personal, normalmente fallas en los tres puntos: no tienes DPA con WhatsApp, no puedes garantizar la separación personal/profesional (la persona que tiene tu móvil ve los chats con clientes) y no puedes ejecutar de forma trazable un derecho de supresión cuando un cliente te lo pida.

Lo que la ley NO dice

Conviene ser brutalmente honesto: ningún texto legal — ni el RGPD, ni la LOPDGDD, ni la AEPD — menciona «WhatsApp Business» por su nombre como obligación. El que afirme lo contrario no ha leído la ley.

Lo que ocurre es que WhatsApp Business es, en la práctica, la única vía sencilla para cumplir lo que el RGPD sí exige (DPA, separación de uso, plantillas auditables). Por eso el organismo público de referencia en España, el INCIBE, dice de forma explícita en su guía oficial que «las empresas o autónomos que decidan apostar por esta herramienta de mensajería instantánea deberán utilizar WhatsApp Business». Es una recomendación oficial muy fuerte, pero no es una norma con sanción directa.

La sanción llega por la vía de los artículos 6 (falta de base legal documentada) y 32 (falta de medidas técnicas adecuadas). Y eso sí ha pasado, como veremos enseguida.

WhatsApp personal, Business app y Cloud API: qué cambia entre los tres

Antes de avanzar conviene aclarar que «WhatsApp» es en realidad tres productos distintos, con consecuencias legales muy diferentes.

• WhatsApp Messenger personal. La aplicación que descargas en tu móvil para hablar con familia y amigos. Sin DPA disponible. Sin separación automática entre uso personal y profesional. Sin auditoría de mensajes enviados. Cifrado extremo a extremo en tránsito, sí, pero los datos viven en tu móvil y en la copia de seguridad iCloud o Google Drive de tu cuenta personal.
• WhatsApp Business app. Aplicación gratuita pensada para pymes y autónomos. Sí firmas el DPA con WhatsApp Ireland Limited al aceptar las Business Solution Terms. Permite perfil de empresa, mensajes de bienvenida y respuestas rápidas. Pero los chats siguen viviendo en un dispositivo concreto, normalmente el del propio autónomo.
• WhatsApp Business Platform (Cloud API). La API oficial de Meta. Los mensajes salen desde la infraestructura de Meta hacia el cliente, no desde un dispositivo personal. Permite plantillas aprobadas, opt-in y opt-out formales, audit log, integración con CRM y sistemas de gestión, y borrado centralizado. Es la opción que usan todos los sistemas profesionales de mensajería con clientes a escala.

Resumiendo en una tabla mental: si manejas más de cuatro o cinco clientes habituales, la app personal te genera riesgo legal real, la Business app es el mínimo imprescindible para tener DPA y la Cloud API es el estándar profesional cuando quieres automatizar y escalar sin sustos.

Política de privacidad: qué información debes dar a tu cliente

El artículo 13 del RGPD es muy claro: cuando recoges datos directamente del interesado, tienes que informarle en ese momento sobre quién eres, qué datos vas a tratar, para qué y con qué base legal. Y todo eso de forma concisa, transparente, inteligible y de fácil acceso, en palabras del propio reglamento.

Para un autónomo esto se traduce en dos capas:

1. Política de privacidad completa publicada en una página web. Si no tienes web, necesitas una. No vale tener el documento en un Drive privado: el cliente tiene que poder consultarlo cuando quiera. Plataformas como Iubenda o incluso un PDF en tu propio dominio sirven.
2. Información de «primera capa» en el primer contacto. Cuando un cliente te escribe por primera vez por WhatsApp, debes responderle con un mensaje breve que incluya: identidad del responsable (tu nombre y NIF si aplica), finalidad del tratamiento, base jurídica, derechos del interesado y enlace a la política completa.

Un mensaje de bienvenida tipo podría ser: «Hola, soy [nombre]. Trato tu nombre y teléfono para gestionar nuestra relación profesional. Base legal: consentimiento y ejecución de contrato. Puedes acceder, rectificar o suprimir tus datos cuando quieras escribiéndome a [email]. Política completa: [enlace]. Si estás de acuerdo, respóndeme ACEPTO.»

Y — este es el detalle que la mayoría se salta — conviene guardar evidencia de esa aceptación. Si el cliente sólo te dice «ACEPTO» en el chat y mañana borras el historial, no tienes prueba. Por eso los sistemas profesionales registran el opt-in con timestamp en una base de datos aparte.

Derecho al borrado: por qué WhatsApp personal lo hace casi imposible

El artículo 17 del RGPD reconoce el derecho al borrado o supresión: cualquier interesado puede pedirte que elimines sus datos. Y el artículo 12.3 te da un plazo concreto: un mes desde la solicitud, prorrogable a tres si lo justificas.

Si gestionas todo desde WhatsApp personal, el problema es que los datos del cliente están repartidos en al menos cuatro sitios:

• El chat en tu móvil.
• El chat en el móvil del cliente (no controlas eso, pero los datos siguen existiendo).
• La copia de seguridad de tu WhatsApp en iCloud o Google Drive.
• Cualquier hoja de Excel, libreta o app paralela donde hayas anotado nombre, teléfono y notas.

Para cumplir el derecho al borrado tendrías que eliminar los datos en todos esos sitios y poder demostrarlo. Borrar el chat en tu móvil no basta: si la AEPD investiga y descubre que sigues teniendo el teléfono apuntado en una hoja, te sanciona igual.

La solución profesional es centralizar: si todos los datos del cliente viven en un único sistema de gestión y los chats son ventanas de visualización, basta con borrar en ese sistema y queda automáticamente registrado el borrado. Esa es exactamente la arquitectura que imponen los CRM serios y los sistemas de gestión modernos.

Sanciones reales de la AEPD por uso indebido de WhatsApp

Para que esto no quede en abstracto, conviene mirar resoluciones públicas de la Agencia Española de Protección de Datos. Esto no es teoría: son multas que ya se han impuesto a profesionales y empresas por uso indebido de WhatsApp con clientes o empleados.

Asesoría sancionada con 5.000 € (PS/00505/2023)

En el procedimiento sancionador PS/00505/2023, la AEPD impuso una multa de 5.000 € (2.500 € por infracción del artículo 6.1 y otros 2.500 € por infracción del artículo 32) a una asesoría que enviaba documentos con datos personales de clientes por WhatsApp desde el móvil personal de un empleado, sin base legal documentada y sin medidas de seguridad. Resolución pública en aepd.es/documento/ps-00505-2023.pdf.

Abogada multada con 4.000 €

Otro caso muy citado: una abogada multada con 4.000 € por enviar sentencias con información personal por WhatsApp con fines promocionales, según informa Confilegal. La AEPD entendió que no había base legal y que no se habían adoptado medidas de seguridad suficientes para datos categorizados como sensibles (información judicial).

LVMH Iberia: 42.000 € por incluir a una empleada en un grupo

Y un caso más reciente y muy mediático: la AEPD multó a una filial de LVMH con 70.000 € (reducidos a 42.000 € por reducción) por incluir a una trabajadora en un grupo de WhatsApp con su número personal sin consentimiento, según recoge Xataka. Aunque es un caso laboral, ilustra hasta qué punto la AEPD entra en este terreno.

El máximo teórico que el RGPD permite es de hasta 20 millones de euros o el 4 % de la facturación anual, lo que sea mayor. En la práctica, para un autónomo, las cifras realistas que se han visto van de los 4.000 a los 10.000 €. Suficiente para hundir el resultado del año entero.

Casos particulares según tu profesión

El marco general es el mismo para todos, pero algunas profesiones añaden capas extra de obligación. Estos son los matices más relevantes.

Abogados y consultores: secreto profesional + RGPD

Si eres abogado, además del RGPD, te aplica el deber de secreto profesional regulado en el artículo 542.3 LOPJ. Compartir datos de un cliente con terceros sin autorización expresa puede tener consecuencias deontológicas (Colegio de Abogados) además de administrativas (AEPD). Por eso la sanción por enviar sentencias por WhatsApp suele ser doble: una por la AEPD y otra por el Colegio.

Sanitarios y fisios: datos de categoría especial

Si tratas información de salud (consultas, diagnósticos, evolución de un tratamiento) te aplica el artículo 9 del RGPD: datos de categoría especial. Eso significa que el consentimiento debe ser explícito (no sirve uno tácito), las medidas técnicas deben estar reforzadas y suele ser obligatorio el cifrado adicional. WhatsApp personal, claramente, no cumple este estándar.

Inmobiliarias y comerciales: LSSI-CE además del RGPD

Si haces envíos comerciales (ofertas, promociones, captación) por WhatsApp, además del RGPD te aplica el artículo 21 de la LSSI-CE: prohibición de enviar comunicaciones comerciales no solicitadas. Necesitas consentimiento previo expreso para cada destinatario. Las plantillas de marketing por WhatsApp Business Platform están diseñadas precisamente para cumplir este requisito (categoría «marketing» con opt-in formal).

Profesionales con menores: profesores particulares, academias, monitores, psicólogos infantiles

Si tu cliente o usuario final es menor de 14 años, el artículo 7 LOPDGDD exige consentimiento expreso del titular de la patria potestad. Y si es menor de 18 con datos sensibles (informes psicológicos, evolución académica) las medidas se refuerzan aún más. Si eres profesor particular o académico, tenemos una guía específica operativa con todo el detalle aplicado al sector educativo: WhatsApp para profesores particulares.

Cómo cumplir en la práctica: alternativas reales

La buena noticia es que cumplir no requiere convertirte en jurista ni gastarte una fortuna. Hay tres caminos viables, ordenados de menos a más profesional.

1. WhatsApp Business app con un segundo número

El mínimo razonable. Te das de alta en WhatsApp Business con un número distinto del personal (eSIM virtual o SIM física). Aceptas las Business Solution Terms (DPA incluido). Configuras un mensaje de bienvenida con la información de primera capa del artículo 13. Publicas tu política de privacidad en una web. Y guardas un registro — aunque sea una hoja de cálculo — de cuándo cada cliente te dijo «ACEPTO».

Coste: cero o el de la SIM. Esfuerzo: bajo. Cumplimiento: correcto si no manejas muchos clientes ni datos sensibles.

2. WhatsApp Business Platform / Cloud API directamente

El siguiente nivel. Te das de alta en business.whatsapp.com, conectas un número, creas plantillas aprobadas por Meta y envías mensajes desde la infraestructura de Meta vía API. Permite opt-in y opt-out trazables, audit log, plantillas separadas por categoría (utility, marketing, authentication) y volumen elevado sin riesgo de bloqueo.

Coste: hay tarifas por conversación según país y categoría. Esfuerzo: técnico medio-alto, normalmente requiere desarrollador o un proveedor que te lo monte.

3. Sistemas de gestión que ya integran Cloud API con DPA

La opción más cómoda para autónomos no técnicos. En lugar de montar la integración con la API de Meta tú mismo, contratas un sistema de gestión de tu sector (CRM para comerciales, software para clínicas, plataforma para profesores particulares) que ya integra WhatsApp Business Platform con todas las garantías legales encima: cifrado de datos en reposo, opt-in registrado en base de datos, audit log, política de privacidad pública, ejecución del derecho al borrado en un clic.

Por dar un ejemplo concreto: en tusalumnos.com, plataforma para profesores particulares, el bot de WhatsApp se conecta vía Cloud API oficial de Meta, los datos personales se cifran en reposo con AES-256-GCM, los teléfonos se almacenan como hash SHA-256, el opt-in del alumno se registra en la base de datos con fecha y hora (estado none / pending / accepted / revoked), las palabras clave «ACEPTO» y «PARAR» se detectan automáticamente y la política de privacidad específica para el alumno se entrega en el primer mensaje del bot. No es publicidad: es un ejemplo de cómo se ve una implementación correcta del RGPD aplicada a la mensajería profesional.

Checklist final: 8 pasos para usar WhatsApp con clientes y dormir tranquilo

1. Separa el número personal del profesional. Segunda SIM o eSIM virtual. Sin esto, todo lo demás es papel mojado.
2. Usa WhatsApp Business como mínimo. Para tener DPA firmado con Meta y poder demostrarlo si te lo piden.
3. Publica una política de privacidad en tu web. Si no tienes web, aprovecha y créala. Es un requisito del artículo 13 del RGPD.
4. Envía un mensaje de bienvenida con la información de primera capa. Identidad, finalidad, base legal, derechos y enlace a la política completa.
5. Guarda evidencia del consentimiento.Que el cliente diga «ACEPTO» en el chat y tú lo apuntes en una hoja con fecha y hora, o mejor en un sistema con audit log.
6. Centraliza los datos del cliente fuera de WhatsApp. Para poder ejecutar el derecho al borrado en menos de un mes y demostrarlo.
7. Cifra el dispositivo y la copia de seguridad. En iPhone es automático con código; en Android, activa el cifrado de la copia de seguridad de WhatsApp en Drive.
8. Si manejas muchos clientes o datos sensibles, sube a Cloud API. Vía un sistema de gestión de tu sector o vía un proveedor especializado.

Cumplir el RGPD con clientes por WhatsApp no es un trámite imposible: es ordenar tus herramientas y tu rutina. Lo que sí es muy difícil de defender ante una inspección es seguir usando tu WhatsApp personal como si nada cuando pasas de cinco o seis clientes habituales. La AEPD lo está sancionando, y los precedentes públicos están ahí para demostrarlo.